Jak má vypadat moderní řízení rizik (risk management)?

Martin Noska | 06.08.2012 | Bezpečnost, Podniková infrastruktura | Žádné komentáře

Ang Poon-Wei, analytik trhu pro bezpečnost ICT ve společnosti IDC, je přesvědčený, že řízení rizik (risk management) je v současnosti motivováno v organizacích primárně obavami z možných důsledků a nikoliv celkovou komplexní strategií. To by se ale mělo změnit a řízení rizik by se mělo stát strategickým a proaktivním. Jedná se o další důležitý krok v rámci zvyšování významu bezpečnosti IT, neboť v této oblasti je podle Poon-Weie stále hodně co zlepšovat.

Řada společností v minulosti díky výši výdajů na bezpečnost IT nechávala všechna rozhodnutí a diskuse v této oblasti na poslední chvíli a nebo dokud nebyly přinuceny vládními nařízeními či jinými tlaky. Šlo tedy spíše o taktické kroky než o strategické. Naopak dnes je podle Anga Poon-Weie potřeba, aby se diskuse o řízení rizik staly součástí širšího plánu IT bezpečnosti v organizacích všech typů a velikostí.

Řízení rizik se stává nutností

Vincent Goh, viceprezident společnosti RSA, k tomu říká, že v minulosti firmy reagovaly rozšířením svého risk managementu zejména na takové kritické události, jako byl pád energetické společnosti Enron v roce 2002, schválení S-Ox zákona v USA (Sarbanes-Oxley Act) či propuknutí globální finanční krize v roce 2008. Důvodem bylo zvýšení publicity hrozeb ztráty důvěrných informací v důsledku sofistikovaných kyberútoků či jiných typů úniků dat.

Útoky cílené na získání informací jsou dnes v drtivé většině motivované finančně, zatímco před deseti lety šlo spíše o jakési zviditelnění a získání slávy. Zvýšila se také rychlost a objem nových hrozeb. Počítačoví zločinci jsou dnes dobře vyškolení profesionálové, kteří drží krok s nejnovějšími trendy a jsou stále lepší ve zneužívání zranitelností, dodává Goh. Nezlepšily se jen jejich schopnosti koordinovaných útoků, ale dokáží dobře využít i rapidní změny v oblasti bezpečnosti a často reagují rychleji než bezpečnostní manažeři ve firmách.

Oblast bezpečnosti přitom prochází velmi významným přerodem, daným vzrůstem otevřenosti, konektivity a také rozšířením infrastruktury firem i na vlastní zařízení zaměstnanců díky trendům jako BYOD (Bring Your Own device), respektive obecně i díky mobilitě a adopci cloudových služeb. Firmy také častěji závisí na outsourcingových partnerech s nimiž sdílí služby pro IT operace, díky čemuž jsou vystaveny rizikům úniků dat.

Nicméně za poslední dekádu se vyvinul právě i samotný risk management a z vágně uchopitelného pojmu se nyní v řadě organizací rýsuje jasná, pěvně stanovená a účinná strategie s jasně definovanými rolemi a zodpovědnostmi.

Změna směrem k metodické a strategické činnosti

Ale jak již bylo řečeno v úvodu, většina firem se v řízení bezpečnostních rizik orientuje na tzv. taktický postup, kdy je základem reakční princip a decentralizovaný monitoring, vysvětluje Vincent Goh. A i když zde k hodnocení rizik pravidelně dochází, je to hlavně z důvodu snahy plnit požadavky a také ze strachu z možných následků.

To je ale v kontrastu s širším strategickým přístupem, v němž jsou rizika měřena jako funkce napříč organizací s ohledem na možné zranitelnosti a pracuje se zde také s pravděpodobností útoků a s tím, jaká je hodnota informací, jež jsou v sázce.

Řízení rizik musí být proto zaměřeno na základní a granulární úroveň a být v kontextu s celou strategií firmy, nemůže se jednat o izolovanou aktivitu. Musí zahrnovat hodnocení otázek bezpečnosti a soukromí na všech úrovních, aby se zamezilo jakýmkoliv krádežím a únikům důvěrných nebo proprietárních dat společnosti, dodává Goh.

V praxi by to mělo vypadat tak, že firmy musí zapracovat na technikách řízení rizik, aby byly mnohem proaktivnější. Je důležité, aby si zodpovědní manažeři uvědomili, že je potřeba rizika hodnotit napříč celou firmou a není možné je spravovat odděleně v podobě uzavřených sil. Organizace proto musí synergicky využívat principů jednotného řízení, řízení rizik a shody s požadavky, aby se vyhnuly nežádoucím bezpečnostním rizikům u kritických a prioritních projektů.

Gerry Chng, který pracuje jako poradce ve společnosti Ernst & Young, navrhuje, aby bezpečnostní architektura zahrnovala monitoring průběžných bezpečnostních kontrol a zaměřila se na identifikaci rizikových scénářů a na účinnost existujících opatření. Pokud je cílem informační bezpečnosti zajistit odolnost IT infrastruktury a zabezpečit citlivé obchodní informace, je nezbytné zavedení skutečně funkční praxe řízení rizik založené na metodických postupech. Ta musí identifikovat rizika a zajistit, aby realizovaná bezpečnostní řešení splňovala očekávání a byla dlouhodobě životaschopná, shrnuje Chng.

Zanechte komentář

Vaše emailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *


− čtyři = dva

Můžete používat následující HTML značky a atributy: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>

Copyright © ICT manažer | ISSN 1805-5486 | SEO optimalizace a přizpůsobení SEO-care.cz