Řízení rizik z pohledu bezpečnosti Prof. Ing. Vladimír Smejkal, CSc. LL.M. člen Legislativní rady vlády ČR soudní znalec
O čem budeme hovořit? Úvod Definice rizika Analýza rizik Řízení rizik Postup podle ČSN ISO/IEC 27005:2008 Doporučení na závěr
Rizika okolo nás hackeři pronikli tam či onam, někdo odcizil údaje o platebních kartách nebo jiné osobní údaje, nový či staronový virus ohrozil ty či jiné počítače nebo mobilní telefony, vlády se připravují na kybernetickou válku, kyberteroristi jsou možná větším ohrožením, nežli teroristé klasičtí hrozí zneužití lokalizačních a provozních údajů či dokonce monitorování elektronické komunikace neoprávněnými subjekty.
Rizika okolo nás Dříve: Nyní:
Rizika okolo nás Boj proti počítačové kriminalitě je jednou z nejvýznamnějších výzev 21. století. Existuje mnoho vzletných proklamací o mezinárodní spolupráci, jak se dočteme v různých akčních plánech, zejména v rámci EU, ale i OBSE, OECD, NATO nebo G8. Ale klíčové je, co uděláme sami!
Asymetrické hrozby: Rizika okolo nás Na jedné straně dnes máme moderní technologie, vyzbrojené armády a tomu odpovídající státní struktury, na straně druhé je celá západní civilizace zranitelná jako Goliáš primitivně vyzbrojeným Davidem.
Rizika okolo nás Ve všem je dnes počítač a všechno komunikuje: útok na počítačovou či komunikační síť může být pro státní infrastrukturu nejvážnější hrozbou!
Jak se bránit? Prevencí Represí poměr by měl být ideálních 80% : 20%.
Jak vytvořit bezpečný ICT systém Bezpečný ICT systém sám o sobě nemá smysl. Informační bezpečnost musí řešit veškerou ochranu informací organizace: ochranu informací v mluvené a psané formě, ale i ochranu informací při zpracování a přenosu, tedy zejména při používání telefonů a faxů prostřednictvím telekomunikační sítě, počítačových sítí typu LAN/WAN, soukromých datových sítí a veřejné datové sítě typu Internetu, včetně různých variant intranetu.
Budování informační bezpečnosti organizace
Průběh incidentů prevence, zvládnutí rizika, resp. havarijního stavu, zajištění obnovy, Zpětná vazba, příp. represe. jednu z nejdůležitějších úloh v procesu budování bezpečné organizace a jejího ICT systému hraje řízení rizik.
Definice rizika Riziko je výraz, pocházející údajně ze 17. století, kdy se objevil v souvislosti s lodní plavbou. Risico" pochází z italštiny a označovalo úskalí, kterému se museli plavci vyhnout. Z hlediska problematiky řízení podnikatelských rizik bude užitečné vycházet z chápání rizika jako možnosti, že s určitou pravděpodobnosti dojde k události, jež se liší od předpokládaného stavu či vývoje. Riziko by nicméně nemělo být směšováno, resp. redukováno na pouhou pravděpodobnost, neboť zahrnuje jak samotnou pravděpodobnost, tak kvantitativní rozsah dané události.
Úvod Riziková situace: výsledek je nejistý a alespoň jeden z možných výsledků je nežádoucí. 13
Analýza rizik Proces definování hrozeb, pravděpodobnosti jejich uskutečnění a dopadu na aktiva, tedy stanovení rizik a jejich závažnosti. Navazující činností je řízení rizik. 14
Analýza rizik Analýza rizik zpravidla zahrnuje: identifikaci aktiv - vymezení posuzovaného subjektu a popis aktiv, které vlastní, stanovení hodnoty aktiv - určení hodnoty aktiv a jejich význam pro subjekt, ohodnocení možného dopadu jejich ztráty, změny či poškození na existenci či chování subjektu, 15
Analýza rizik identifikaci hrozeb a slabin - určení druhů událostí a akcí, které mohou ovlivnit negativně hodnotu aktiv, určení slabých míst subjektu, které mohou umožnit působení hrozeb, stanovení závažnosti hrozeb a míry zranitelnosti - určení pravděpodobnosti výskytu hrozby a míry zranitelnosti subjektu vůči dané hrozbě. 16
Metody analýzy rizik 1. kvantitativní metody (CRAMM apod.) umožňují bez velkého přemýšlení generovat mnohasetstránkové výstupy, které obsahují obecné pravdy. 2. kvalitativní metody (metoda Delphi) interview, experti, statistiky + zohlednění finančního dopadu; lze ušít na míru. 17
Analýza rizik Příklad: riziko odcizení automobilu identifikace aktiva osobní automobil hodnota aktiva 1 mil. Kč identifikace hrozeb a slabin odcizení pravděpodobnost výskytu hrozby vzhledem k míře zranitelnosti subjektu pravděpodobnost krádeže je úměrná modelu automobilu a okolnostem (kriminogenní situaci, která definuje zranitelnost). 18
Analýza rizik Pravděpodobnost uskutečnění hrozby: - Můžeme se zeptat sousedů - Můžeme se zeptat na policii či Policii - Ve skutečnosti asi vyjdeme ze statistiky a tu modifikujeme podle okolností (zranitelnosti) takto: 19
Analýza rizik Pravděpodobnost uskutečnění hrozby: Nejčastěji se kradou auta, kterých je nejvíc v provozu: Dále se hodně kradou drahá auta: Nejméně se kradou auta, která u nás nejsou tak častá: 20
Podle statistiky platí: Analýza rizik 21
Analýza rizik Pravděpodobnost uskutečnění hrozby Kde se nejvíc kradou auta? v Praze zloději ukradnou za každou hodinu a půl jedno auto. Kdy se nejvíc kradou auta? Automobily se nejvíce kradou před Vánoci. -> Pražák, vlastnící Audi, který parkuje na ulici musí provést zcela jiná protiopatření, nežli občan bydlící v Dačicích (JČ), který jezdí vozem Toyota a má vlastní garáž. 22
Řízení rizik Čím vyšší je míra rizika pro dvojici hrozbaaktivum, tím účinnější opatření musejí být implementována, aby se riziko eliminovalo nebo snížilo na přijatelnou úroveň. Nástroje pro snížení rizika: nemusí platit vždy, nutno ad hoc posoudit vždy znovu! Důležitou součástí procesu rozhodování o snížení rizik jsou náklady na snížení rizika. 23
Řízení rizik 1. Nelze přepokládat nulové náklady na odstranění rizika. 2. 100% odstranění rizika může vyžadovat až nekonečně velké náklady. Platí obvykle závislost: 24
Pokračování příkladu Bylo vyhodnoceno, že riziko související s odcizením automobilu je VYSOKÉ. Tvrdost vysoká = unikátní, nenahraditelný automobil: Pravděpodobnost: vysoká (krádež na objednávku) Náklady na pojištění: vysoké. + neřeší tvrdost (nenahraditelné aktivum) ŘEŠENÍ: organizační opatření alarm, Sherlog, garáž s EZS, hlídání při akcích mimo sídlo. 25
Postup podle ČSN ISO/IEC 27005:2008 K hodnocení míry rizik (inherentního, reziduálního a cílového) je použita součtová matice rizik. 26
Postup podle ČSN ISO/IEC 27005:2008 Míra rizika podle této metody postavené na vztahu výše dopadu události (resp. uskutečnění hrozby) na dané aktivum a pravděpodobnosti výskytu takové události je relativní veličina ve stupnici 2-10, získaná součtem ohodnocení pravděpodobnosti a dopadu. 27
Postup podle ČSN ISO/IEC 27005:2008 Správu rizik ilustrují pohyby v součtové matici rizik: 28
Závěr Řízení rizik je nikdy nekončící proces! 29
Závěr Řízení rizik je nikdy nekončící proces! 30
Závěr Ignorování či podceňování řízení rizik je důvodem většiny problémů, nezdarů, katastrof: Podnikatelských nezaplacení, nedodání, smluvní pokuty, škoda, podvody, chování státu atd. Provozních stavby, doprava, výroba atd. Finančních špatné investice Osobních události (povodně, oběť tr. činu), chování (dovolená), vztahy, cíle atd. 31
Literatura a kontakt Smejkal, V., Rais, K.: Řízení rizik ve firmách a jiných organizacích. 3. vydání. GRADA, Praha 2009. smejkal@znalci.cz 32
Děkuji za pozornost. www.znalci.cz www.kompetence.cz 33