Analýza rizik
H Řízení rizik Řízení rizik podle norem ISO Stanovení kontextu Identifikace a hodnocení aktiv Identifikace hrozeb a zranitelností Analýza rizik Zvládání rizik
Pro účely analýzy rizik je nutné znát, jaké hrozby mohou využít některou ze zranitelností a jejich slabin, které by měly nějaký nepříznivý dopad na aktiva. Opět se lze odkázat na Obrázek č. 15, kde je zobrazen cyklus procesu řízení rizik. Na obrázku jsou vyznačeny body A a B, tedy kontrolní body procesu řízení rizik. Bod A je bodem rozhodnutí o uspokojivém hodnocení rizika. Pokud jsou získané informace z hodnocení rizik nedostatečné, bude nutné provést další opakovaná posouzení rizik. Opakované hodnocení rizik musí vycházet z revidovaného kontextu (ISO 27005, 2013). Tato část řízení rizik zahrnuje stanovení kontextu a hodnocení rizik. Výstup je posouzen z hlediska upokojivého hodnocení (vyznačeného bodu A).
V závislosti na okolnostech kritičnosti a rozsahu zranitelností volí organizace kvalitativní nebo kvantitativní metodiku analýzy rizik, případně kombinaci obou uvedených. Kvalitativní analýza využívá k popisu dopadu stupnice (například nízký, střední, vysoký) a spojuje dopad s kvalitativním vyjádřením pravděpodobností, s jakou by mohly incidenty nastat. Kvalitativní metodika je snadno pochopitelná, ale nese s sebou prvky subjektivní povahy, zvláště u zatřídění do hodnotících stupnic. Kvalitativní metodiky se využívají v případech, kdy je obtížná kvantifikace rizika. Kvantitativní metodiky pracuji s čísly, respektive s číselnými škálami. Tento způsob analýzy je závislý na dostupnosti konkrétních, aktuálních, přesných a úplných číselných hodnot, což může být zároveň nevýhodou této metodiky. Jako vstup pro posouzení následků uvažovaného dopadu rizika jsou výstupy z procesů identifikací a hodnocení aktiv, hrozeb a zranitelností, scénářů incidentů a výstup z analýzy rizik. Posouzení následků určuje, jaký dopad může mít následek incidentu na organizaci a jejích fungování, náklady na obnovení provozu a ztráty v obchodních oblastech. Analýzy dopadů incidentů uvažují při hodnocení také jakou měrou se na aktivu projeví, zda bude aktivum ovlivněno jen částečně, nebo zda se vzájemné propojení aktiv projeví i dopadem na závislých aktivech. Samotný dopad incidentu je závislý na pravděpodobnosti, s jakou se daný scénář může projevit. Pravděpodobnost zohledňuje četnost možného výskytu za časovou jednotu a v úvahu jsou brány zkušenosti a statistiky, aspekty úmyslných a neúmyslných činů a vlastnosti samotných zranitelností (ISO 27005, 2013). Výstupem je přiřazení pravděpodobnosti každému z posuzovaných scénářů, například způsobem, který nastiňuje Tabulka č. 5.
Na každé riziko (scénář incidentu a jeho dopad) lze aplikovat nástroj mapy rizik. (Svatá, 2016) uvádí příklad mapy rizik, která je uvedena na Obrázku č. 17 v pravé části. Výsledné riziko v závislosti na pravděpodobnosti a dopadu rizika je vyjádřeno v mapě na základě obou veličin. Je tak graficky znázorněno, ve kterém pásmu rizikové oblasti se dané riziko nachází. Oblasti zahrnují pásma, jejichž parametry rizikového apetitu7 , určují, jaký postoj zastává organizace k rizikům, a pro každou organizaci jsou jiná. Vyhodnocení rizika, které bude zařazeno do oblasti „zásadně nepřijatelného rizika“ (viz pravá část Obrázku č. 17) vyžaduje maximální úsilí a okamžité řešení rizika. Zásadně nepřijatelná rizika by měly mít dopad na priority v řízení rizik. Riziko, které má vysokou pravděpodobnost a značný dopad, může být pro organizaci velkým problémem. Organizace proto musí přijmout taková opatření, aby nebyla vystavena tak vysoké míře rizika. Postup a cíl ošetření významných rizik je zobrazen v levé části Obrázku č. 17.
V rámci přístupu k analýze rizik mohou organizace zvolit přístup, zda provedou analýzu s pomocí vlastních zdrojů, nebo využijí služeb externích specialistů. Rozdíly, které s sebou nese rozhodnutí, jak organizace přistoupí k analýze rizik a možné výhody a nevýhody zvoleného přístupu shrnuje Tabulka č. 6.
