Blog

Zajímavosti a postřehy ze světa i z MoyaZone.

Zápisky z konzultační hodiny: Risk Management se Zbyňkem Vallo z Ernst & Young 

– Vytvořil/a

Olga Pincová

v kategorii

Nedávno proběhla další konzultační hodina. Tentokrát na téma risk management, Expertním hostem byl Zbyněk Vallo z Ernst & Young.  

Zbyněk, se zkušenostmi z Ernst & Young i NÚKIBu, nabídl praktický pohled na řízení rizik, což je obzvlášť relevantní s ohledem na schválený zákon o kybernetické bezpečnosti, jehož platnost lze očekávat nejdříve na začátku října 2025 (pokud vše půjde hladce). Tento zákon přinese regulaci pro mnoho subjektů, které s risk managementem dosud neměly zkušenosti. 

Cílem hodiny bylo poskytnout praktické rady, jak k řízení rizik přistupovat, zejména pro ty, kteří začínají od nuly. Nezastavovali jsme se u úplných základů (jako je Business Impact Analýza – BIA), které byly probrány v CyberEdu NIS2 Academy, ale zaměřili jsme se na to, jak teorii převést do praxe. 

Celou si ji můžete pustit ve videu níže. Pod videem pak najdete zápisky.

Klíčové kroky v řízení rizik: 

Stanovení hodnotících kritérií dopadu

  • Toto je úplný začátek. Musíte si definovat, co je pro vaši organizaci ještě akceptovatelné z pohledu dopadů. 
  • Stanovte si ztrátová pásma (nízká, střední, vysoká, kritická). Ideálně přiřaďte číselné, nejlépe finanční hodnoty
  • Pásma nemají být lineární, ale exponenciální
  • Určete si Risk Appetite organizace – úroveň ztráty, kterou je vedení ochotno akceptovat. 
  • Definujte kritéria i pro nefinanční dopady (reputační, provozní, bezpečnost osob, životní prostředí). Snažte se vše vyčíslit, protože finance jsou jazyk, kterému rozumí zbytek organizace. 
  • Držte všechny dopady na jednotné číselné stupnici (např. 1-4). I nefinanční dopady kvantifikujte touto stupnicí. 
  • Vyhněte se lichým počtům v stupnici (např. 1-5), protože bývá tendence dávat vše do středu, což komplikuje stanovení Risk Appetite a prioritizaci. Používejte sudý počet (např. 1-4 nebo 1-6), abyste se lépe zaměřili na podstatné. 
  • Stejnou stupnici použijte pro hodnocení hrozeb a zranitelností
  • Tato kritéria pravidelně revidujte, minimálně jednou ročně a po významných změnách v organizaci. 

Tvorba registru aktiv:

  • Nesouvisí přímo s Risk Analýzou, ale je jejím klíčovým vstupem
  • Přiřaďte identifikátory a garanty (zodpovědné osoby) k jednotlivým aktivům. Garanti jsou důležití pro znalost, na koho se obrátit při incidentu. 
  • Zapojte garanty už do tvorby registru a do celého procesu řízení rizik. 
  • Registr můžete vést v existujících systémech (CMDB) nebo v jednoduchém Excelu, pokud jste menší organizace. Důležité je ho řídit. (poznámka MoyaKybeon: všechny tyto katalogy můžete vést také v MoyaKybeon – aplikace je na to přímo navržena. Můžete si ji také zdarma vyzkoušet., včetně řady výhod – jak od začátku udržovat systém a přehled, mít jednoznačnou auditní stopu, provázanost s dalšími informacemi apod.)  
  • Podle nové vyhlášky musíte stanovit i úroveň kritičnosti aktiv (nízká-kritická) v rámci CIA (Confidentiality, Integrity, Availability). To lze stanovit i později v BIA. 
  • Udržujte registr aktuální. Příklad: Změna ředitele výroby, nákup nových strojů, změna softwaru – to vše vyžaduje revizi registru, BIA a Risk Analýzy. Díky aktuálnímu registru víte, co konkrétně revidovat. 

Business Impact Analýza (BIA)

  • Další vstup do Risk Analýzy. Popisuje situace přerušení obchodních činností
  • Cíl: Kvantifikovaný, ideálně finančně vyjádřený dopad. Pomáhá být objektivní a identifikovat skutečně kritické procesy. 
  • Stanovte vazbu služby/procesu na IT/OT systémy. 
  • Definujte důležité procesy a proč. Může se stát, že zjistíte, že některé procesy nejsou tak kritické, jak se zdá. 
  • Definujte opodstatněné požadavky na dostupnost a zabezpečení IT služeb, které podporují kritické procesy. U OT systémů je primární dostupnost procesů, u IT systémů i bezpečnost informací
  • Kritické služby mají prioritu při vzniku kritické situace. 
  • Cíle BIA: Určit důležité služby/procesy, vymezit hrozící dopady na CIA (škála 1-4), stanovit priority a časy obnovy (RTO, RPO), určit potřebné zdroje pro obnovu. 
  • Metodika BIA: 
  • Interview, workshopy, brainstorming s relevantními osobami. 
  • Připravte si dotazníky s otázkami dopředu, aby se respondenti mohli připravit. 
  • Vyberte vhodné respondenty, kteří procesy skutečně znají. 
  • Workshop moderujte, abyste se drželi tématu a času. 
  • Definujte dopadové scénáře – zaměřte se na následky (co se stane, když proces přestane fungovat, nezávisle na příčině), ne jen na hrozby. Hrozbám se budete věnovat v Risk Analýze. 
  • Definujte strategie obnovy a požadavky na RTO (Recovery Time Objective)a RPO (Recovery Point Objective). RTO je doba, do kdy potřebujete proces obnovit; RPO je množství dat, o které jste ochotni přijít. MTD (Maximum Tolerable Downtime) je maximální doba, po kterou může být proces přerušen. 
  • Tipy pro interview/workshopy: Přizpůsobte slovník, nechte rozhovor plynout (nejen vyplňovat dotazník), mějte pod kontrolou emoce, buďte vstřícní, ale asertivní, komunikujte účel BIA (pomáhá zachránit firmu při problémech), ujasňuje priority obnovy. 
  • Výpočet ztrát: Pokud to jde, finančně kvantifikujte dopady. Příklad:

Annual Loss Expectancy (ALE) = Single Loss Expectancy (SLE) * Annualized Rate of Occurrence (ARO)

Tento výpočet může být vstupem do matice rizik a pomáhá prioritizovat. 

Risk Analýza

  • Proces identifikace, hodnocení, prioritizace a řešení rizik
  • Přístupy: Kvalitativní (jednodušší, rychlejší, subjektivní) vs. Kvantitativní (přesnější, objektivní, vyžaduje detailní data a výpočty). Kvantitativní přístup může být výhodou při komunikaci s klienty. 
  • Výběr přístupu závisí na velikosti organizace, infrastruktuře a zdrojích. I v malých firmách lze použít kvantitativní přístup. Lepší je dělat kvalitativní analýzu než žádnou. 
  • Výpočet rizika (EY metodika): Riziko = Dopad * Hrozba * Zranitelnost. Dopad na CIA se bere z BIA. Hrozba a zranitelnost působí na podpůrná aktiva. Vyhláška doporučuje: Hodnota Aktiva * Hrozba * Zranitelnost. (poznámka MoyaKybeon: v MoyaKybeon postupujeme s analýzou rizik stejně: Typová podprůná aktiva jsou ohodnocena na základě vazeb s primárními aktivy.) 
  • Použijte jednotnou škálu (např. 1-4). 
  • IT vs OT: U IT je důležitější Confidentiality, u OT Availability procesů
  • Zdroje pro identifikaci hrozeb a zranitelností: Příloha 3 současného VKB, připravovaná vyhláška, ISO 27005 (přílohy C, D), BS katalog (podrobnější, s příklady), MITRE ATT&CK (velmi podrobné, taktiky/techniky útočníků, pro vyspělé organizace). Vždy zohledněte kontext organizace
  • Identifikace rizikových scénářů: Zde se zamýšlíte nad tím, zda a jak by útok skutečně mohl nastat na vaší infrastruktuře. Dělá se to opět pomocí interview a workshopů se zainteresovanými osobami, podobně jako BIA, ale s jiným cílem. 
  • Zohledněte relevantní varování a opatření vydaná NÚKIBem
  • Kritéria hodnocení hrozeb a zranitelností by měla být slovně definovaná (např. kritická, nízká) a přiřazená k číselné stupnici (1-4). Mějte je definovaná před interview. 

Registr rizik

  • Evidence všech identifikovaných rizik. (poznámka MoyaKybeon: v MoyaKybeon registu rizik říkáme Katalog rizik) 
  • Slouží k vytváření nápravných opatření, primárně pro rizika nad úrovní Risk Appetite (kritická, vysoká). Rizika pod touto úrovní lze akceptovat. 
  • Pravidelně projednávejte registr s vedením. Nový zákon dává vedení přímou odpovědnost. 
  • Pravidelně aktualizujte registr, zejména po nasazení nápravných opatření nebo při zjištění zdržení. 
  • Výstupem z Risk Analýzy je i Zpráva o hodnocení rizik, která je formálnější než registr a slouží i jako auditní stopa

Zvládání rizik (Risk Treatment)

  • Způsoby zvládání rizik: 
  • Mitigace/Ošetření: Redukce rizika (např. silnější heslo). 
  • Vyhnutí se: Zrušení rizikového procesu. 
  • Přenos/Sdílení: Např. Pojištění. 
  • Akceptace: Pro rizika pod úrovní Risk Appetite. 
  • Vytvořte Plán zvládání rizik (plán nápravných opatření). (poznámka MoyaKybeon: Plán zvládání rizik si vygenerujete na jedno kliknutí.) 
  • V plánu zohledněte: Přiřazení zdrojů (finanční, lidské, technika), cílem je snížit inherentní riziko (vypočtené z analýzy) na přijatelnou úroveň (pod Risk Appetite). 
  • Po mitigaci zůstává zbytkové riziko (residual risk), které musíte evidovat. 
  • Buďte efektivní: Hodnota opatření by neměla přesáhnout výši rizika nebo hodnotu chráněného aktiva. 
  • Opatření posuzujte na expertní úrovni, s lidmi, kteří znají prostředí. Čerpejte zkušenosti odjinud. 
  • Stanovte priority implementace opatření (dle závažnosti rizika, nákladů, zdrojů, vlivu na organizaci, firemní kultury). 
  • Vůle vedení a jejich podpora jsou klíčové. Kvantifikace rizik pomáhá vedení přesvědčit. 
  • Plán zvládání rizik by měl obsahovat: Popis opatření, cíle/přínosy, zodpovědné osoby, termíny, odhad zdrojů, vazbu na rizika, konkrétní způsob realizace, a kritéria pro určení efektivnosti opatření (jak poznáte, že opatření zafungovalo). 
  • Při hodnocení rizik a tvorbě plánu zvládání zohledněte: Významné změny v organizaci/rozsahu, protiopatření NÚKIB, kybernetické incidenty (vaše i obecné trendy), výsledky auditů/kontrol, výsledky penetračního testování/skenování zranitelností. 
  • Opatření by měla řešit konkrétní problémy, být srozumitelná, testovatelná a mít minimální závislosti
  • Návrh plánu zvládání rizik musí schválit vedení
  • Po implementaci opatření revidujte zbytkové riziko. Jde o kontinuální proces (PDCA cyklus). 
  • Úspěšnost opatření hodnoťte dle předem stanovených kritérií. Využívejte nástroje (penetracní testování, CVSS, audity). 

Business Continuity Management (BCM)

  • Vychází z výsledků BIA. 
  • Zpracováváte Zprávu o analýze dopadů pro vedení. 
  • Pro klíčové procesy a systémy se připravují BCP (Business Continuity Plans) a DRP (Disaster Recovery Plans). 
  • Plány se musí pravidelně testovat (tabletop, prakticky). Bez testování nemáte jistotu, že fungují (příklad s generátorem bez benzínu, příklad s vrátným). Testování nemusí být hned praktické, začněte tabletopem. 
  • Plány se pravidelně revidují (např. po změnách procesů). 
  • BCP jsou zaměřené na službu/proces (pro všechny zaměstnance, např. přesun na jinou lokalitu), DRP jsou technické, zaměřené na konkrétní specialisty pro obnovu systémů. 
  • Důležitý je i Plán krizového řízení (role, odpovědnosti, kontakty na klíčové osoby, krizová komunikace). 
  • Nepodceňte SLA pro dodavatele

KPI a metriky pro Security Management

  • Má smysl nastavit metriky úspěšnosti jednotlivých security procesů a sledovat trendy v rámci nich. 
  • Příklad: Školení zaměstnanců a simulovaný phishing. Metriky: počet simulovaných e-mailů, počet nahlášených, počet otevřených, oddělení. Trend: klikají méně/více nahlašují? -> školení je/není úspěšné. 
  • Lze měřit i reálné incidenty (např. DDoS – jak často, jak úspěšné). 
  • Sledujte i obecné trendy (např. AI a s tím spojená rizika, jako je únik citlivých dat do veřejných AI nástrojů). 

Diskuze a praktické tipy z Q&A

  • Risk management by neměl dělat jen jeden člověk. Ideální je týmová práce pro zajištění objektivity. Příliš mnoho lidí (např. 5+) může být problém se shodnout. 
  • Ve větších organizacích lze využít agilní přístup a Risk Self-Assessment, kdy proškolení zaměstnanci v odděleních provádí prvotní hodnocení, zatímco tým pro risk management drží governance
  • Osoby odpovědné za provoz regulované služby mohou provádět analýzu rizik (v rámci self-assessmentu), protože mají nejlepší znalost prostředí a zranitelností. Je nutná governance a dohled. Musí to dělat poctiví a vyškolení zaměstnanci. 
  • Místo detailního dotazníku předem lze poslat jen vysvětlivky nebo témata k rozhovoru, aby nedošlo k „smrti z vyděšení“. Cílem dotazníku je připravit, ne nahradit samotný rozhovor. Dejte si pozor na tendenci lidí jen vyplnit šablonu bez hlubšího zamyšlení. 
  • V interview je vhodné reagovat na dotazované a nechat rozhovor plynout, i když je dobré ho moderovat. 
  • MoyaKybeon může pomoci se systematizací procesu, zejména od analýzy rizik dál, díky provázaným tabulkám a výpočtům. Software poskytuje i auditní stopu
  • Celkově jde o kontinuální proces, který vyžaduje pravidelnou revizi a adaptaci na změny v organizaci a vnější prostředí. Klíčem je objektivita, zapojení relevantních osob a podpora vedení. 

MoyaKybeon je nástroj pro řízení kybernetické bezpečnosti, který pomáhá organizacím splnit nároky plynoucí ze Zákona o kybernetické bezpečnosti nebo ISO certifikace. Nabízí funkce pro správu aktiv, hrozeb i zranitelností, analýzu rizik a mnoho dalších funkcionalit. Vyzkoušejte si 30denní demo zdarma.