Jak zneškodnit rizika

Nedílnou součástí systému řízení bezpečnosti informací je analýza a posléze řízení rizik. Je proto na místě d...


Nedílnou součástí systému řízení bezpečnosti informací je analýza a posléze
řízení rizik. Je proto na místě definovat, co to vlastně rizika jsou a jak se s
nimi můžeme vypořádat.
Definice praví, že riziko je míra potenciální ztráty, která může být buď
ekonomická, nebo ohrožuje lidské zdraví případně i životy. Pokud bychom chtěli
vyjádřit riziko pomocí vzorce, tak by šlo o součin pravděpodobnosti, s jakou
může ona nechtěná událost nastat, a důsledků (dopadu), kterou má na hospodaření
firmy. Lze konstatovat, že ke ztrátám v důsledku neošetřených rizik může
docházet v šesti základních oblastech: v oblasti kvality (zboží, služeb...), ve
finančním řízení, v oblasti informací, zdraví, bezpečnosti a životního
prostředí. Většina těchto problémů má potom vliv na pověst firmy.

Řízení rizik
Řízení rizik, nebo také rizikový management, obsahuje v zásadě pět hlavních
kroků: identifikaci možných hrozeb, examinaci (ohodnocení) rizik, plán
eliminace rizik, implementaci plánu a výsledné monitorování, ze kterého
následně vyplývají nutné úpravy odpovídající měnícím se podmínkám.
Na to, jak rozpoznat možná rizika, neexistuje jednoznačný návod. Obvykle je
nejlepší začít tzv. brainstormingem, kterého by se měli zúčastnit odpovědní
pracovníci ze všech oddělení firmy. Tímto způsobem se obvykle nasměruje další
snažení, kdy se vyhodnocují firemní procesy z nejrůznějších hledisek, od
možných druhů ztrát až po povinnosti vyplývající z legislativy.

Hodnocení rizik
Nyní nastává čas posoudit a ohodnotit rizika. To znamená pomocí analýzy určit
pravděpodobnost výskytu jednotlivých rizik a jejich dopad. Proto přicházejí na
řadu analýzy tam, kde to jde, kvantitativní, kde to není možné, je třeba použít
obtížnější kvalitativní analýzy. Další důležitou součástí hodnocení rizik je
nastavení priorit, v jejichž světle potom mohou výsledky analýz opět vypadat
jinak, než se na první pohled zdálo.

Plán eliminace rizik
Nyní přichází čas stanovit plán, podle kterého se posléze rozběhne proces
řízení rizik. V této chvíli máme rizika identifikovaná a ohodnocená vzhledem k
pravděpodobnosti jejich výskytu a možným důsledkům, a to vše by již mělo být
dáno do kontextu s prioritami společnosti. Nyní se rozhoduje, co s jednotlivými
riziky vlastně udělat.
V zásadě se nabízejí čtyři hlavní přístupy: rizika mohu omezit, převést (na
někoho jiného), tolerovat nebo něco s nimi, resp. proti nim, aktivně
podniknout. Omezení rizika většinou znamená buď zastavit činnost, ze které
vyplývají, nebo použít vhodné (méně rizikové) alternativní řešení. Převedení
rizik se dá provést několika způsoby: buď se proti jejich důsledkům pojistit
(pokud to jde), nebo činnost přesunout směrem k vnějšímu dodavateli
(outsourcing), který je proti určeným rizikům lépe chráněn např.
kvalifikovanějšími pracovními silami nebo vybavením. Tolerovat se mohou rizika,
jejichž důsledky jsou známé a předvídatelné na základě analýz již proběhlých
incidentů nebo havárií, takže na základě nastavení priorit se jejich eliminace
jeví jako neekonomická nebo neúčelná.
Zbývá ta nejdůležitější část, tedy aktivní přístup k řízení rizik. Zde obvykle
přicházejí na řadu následující kroky: vypracování programu řízení ztrát, na
jehož základě je definován systém nutných opatření. Končí to samozřejmě
investicemi systém je třeba uvést do praxe.

Implementace a monitorování
Vědomosti, plán i propracovaná opatření je třeba implementovat neboli aktivně
zapojit do firemních procesů. Zde je nutné zdůraznit potřebu jasné podpory
vedení společnosti, díky které je potom možné zainteresovat všechny potřebné
pracovníky. Monitorování zavedených opatření má za úkol udržovat potřebnou
dynamiku systému, který musí v reálném čase reagovat na měnící se podmínky
uvnitř i vně firmy. Monitorování se obvykle provádí prostřednictvím prověrek
(auditů) a hodnocení jejich výsledků, po nichž následují nápravná nebo
doplňující opatření.

Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.