Řízení rizik: Řízení rizik jako klíčový proces a kritéria pro přijatelnost rizik

Řízení rizik je klíčový proces, který přímo navazuje na identifikaci aktiv a představuje opakující se sled činností, jejichž cílem je identifikovat, hodnotit a řídit potencionální rizika s cílem omezit tak pravděpodobnost jejich výskytu a snížit jejich možný dopad na organizaci v případě, kdy tato rizika reálně nastanou.

Účinné řízení rizik je takové řízení, které je v pravidelných intervalech aktualizováno, resp. je aktualizováno po každé významné změně. V rámci organizace je ideálně stanovena metodika pro hodnocení rizik, včetně kritérií pro akceptaci rizik. Jak už bylo uvedeno výše metodika by měla být ideálně přizpůsobena specifickým potřebám dané organizace, díky čemuž by klíčové bezpečnostní role jakými jsou garanti jednotlivých aktiv a manažer kybernetické bezpečnosti byli schopné v metodikou pracovat.

Komplexní proces hodnocení rizik by mě splňovat požadavky na formalizaci, prokazatelnost a měl by být opakovaně proveditelný bez závislosti na jedné čí více konkrétních osob.

Kritéria pro přijatelnost rizik

Na úvod je důležité rozlišit, která rizika mohou být akceptovatelná a která naopak akceptovatelná nejsou a je třeba je dále snižovat. Akceptovatelným rizikem je to riziko, které je přijatelné a není nutné jej zvládat pomocí dalších bezpečnostních opatření.

Akceptovaným rizikem může být např. riziko s nízkou pravděpodobností, nízkých následků nebo malého vlivu na míru bezpečí, případně existence nepřiměřených nákladů. Tyto podmínky, za jakých je možné rizika akceptovat, musí být v organizaci jasně definovány.

Přiměřená bezpečnost

Stav, kdy velikost úsilí a investic do bezpečnosti odpovídá hodnotě aktiv a míře možných rizik.