Matica rizík: ako si nastaviť priority v kybernetickej bezpečnosti

V praxi sa pri kybernetickej bezpečnosti rýchlo dostanete do bodu, keď „zoznam problémov“ už nestačí. Máte desiatky možných incidentov, obmedzený rozpočet a ľudí, ktorí popri bezpečnosti riešia aj bežnú prevádzku. 

Matica rizík je jednoduchý nástroj, ktorý vám pomôže urobiť kľúčové rozhodnutie: čo riešiť hneď, čo plánovať a čo je zatiaľ prijateľné. 

Čo je matica rizík 

Matica rizík je prehľad, v ktorom riziká umiestnite do mriežky podľa dvoch parametrov: 

• pravdepodobnosť (ako ľahko sa to môže stať), 

• dopad (aká veľká škoda vznikne, keď sa to stane). 

Výsledkom je vizuálna mapa priorít. Namiesto pocitov máte rámec, podľa ktorého viete obhájiť, prečo riešite napríklad phishing skôr než doplnkové opatrenia. 

Prečo sa matica rizík oplatí 

Matica rizík vám pomôže najmä v týchto situáciách: 

• keď sa rozhodujete, do čoho investovať najskôr, 

• keď potrebujete zosúladiť pohľad vedenia, IT a prevádzky, 

• keď chcete mať jednotné hodnotenie rizík naprieč firmou, 

• keď chcete vedieť ukázať, že riziká riadite systematicky. 

Matica nerieši všetko. Ale výborne rieši to najdôležitejšie: poradie. 

Ako vyzerá typická matica rizík 

Najčastejšie sa používa 3×3 alebo 5×5 matica. 

• os X: pravdepodobnosť (nízka → vysoká) 

• os Y: dopad (nízky → vysoký) 

A z toho vzniknú zóny, ktoré si firmy typicky označujú farbami: 

• nízke riziká: monitorovať / akceptovať, 

• stredné riziká: plánovať zníženie, 

• vysoké riziká: riešiť prioritne, 

• kritické riziká: riešiť okamžite. 

Dôležité je, aby ste farby a hranice „čo je už vysoké“ mali definované, nie odhadované podľa nálady. 

Ako si nastaviť škály tak, aby dávali zmysel 

Najväčšia hodnota matice je konzistentnosť. To však funguje len vtedy, keď máte jasne popísané, čo znamená „nízky dopad“ a „vysoká pravdepodobnosť“. 

Nastavte škálu dopadu 

Odporúčanie z praxe: dopad nedefinujte len finančne. Dopad má viac rozmerov. 

Môžete si ho rozdeliť napríklad na: 

• prevádzkový dopad (výpadok služby, zastavenie výroby), 

• finančný dopad (priame náklady, ušlý zisk), 

• právny/regulačný dopad (porušenie povinností, pokuty), 

• reputačný dopad (strata dôvery, odchod zákazníkov). 

A potom si stanovíte, čo je „nízky / stredný / vysoký dopad“ podľa vašej reality, napríklad:

• výpadok do 2 hodín vs. 1 deň vs. viac dní, 

• strata do X € vs. do Y € vs. nad Y €, 

• dopad na interné dáta vs. osobné údaje vs. kritické dáta. 

Nastavte škálu pravdepodobnosti

Pravdepodobnosť nie je veštenie. Je to kvalifikovaný odhad podľa expozície. 

Zohľadnite napríklad: 

• koľko ľudí má prístupy a ako sú chránené, 

• ako často sa menia heslá a či používate MFA, 

• či máte incidenty v minulosti, 

• aká je miera externého vystavenia (VPN, verejné služby, vzdialený prístup), 

• závislosť od dodávateľov a cloudu. 

Pomáha, keď si pravdepodobnosť popíšete ako frekvenciu: 

• nízka: raz za niekoľko rokov, 

• stredná: raz ročne až raz za dva roky, 

• vysoká: viackrát ročne / bežné scenáre. 

Ako zostaviť maticu rizík krok za krokom 

1. Najprv si ujasnite, čo je „riziko“

Riziko nie je „nemáme MFA“. To je zraniteľnosť. 

Riziko je scenár so škodou, napríklad: 

• „Krádež e-mailového účtu vedie k podvodu v platbách.“ 

• „Ransomvér spôsobí nedostupnosť systémov a výpadok prevádzky.“ 

• „Únik údajov poškodí reputáciu a spustí právne povinnosti.“ 

2. Vypíšte si top aktíva a procesy

Ak neviete, čo chránite, neviete hodnotiť dopad. 

Začnite tým, čo vám zastaví firmu: 

• fakturácia a platby, 

• objednávky a zákaznícky servis, 

• e-mail, identita, prístupy, 

• účtovníctvo, mzdy, 

• kľúčové dáta a zmluvy. 

3. Pomenujte najpravdepodobnejšie hrozby

Typicky sa opakujú: 

• phishing a krádež účtov, 

• ransomvér, 

• únik dát (chybná konfigurácia cloudu, odcudzené zariadenie), 

• zlyhanie dodávateľa (hosting, cloud, ERP), 

• interné pochybenia a nesprávne oprávnenia. 

4. Priraďte dopad a pravdepodobnosť

Tu sa oplatí zapojiť ľudí mimo IT. 

• IT vie posúdiť technickú stránku a expozíciu. 

• Prevádzka a obchod vedia povedať, čo sa stane, keď systém stojí. 

• Vedenie rozhoduje, čo je „prijateľné“. 

5. Vložte riziká do matice a určte priority

Keď máte riziká v matici, získate poradie. 

V praxi sa osvedčuje: 

• mať jasnú hranicu, čo už je „vysoké“, 

• ku každému vysokému/kritickému riziku priradiť vlastníka, 

• dohodnúť, čo je cieľ: znížiť, vyhnúť sa, preniesť, akceptovať. 

6. Priebežne maticu aktualizujte

Matica rizík nie je jednorazový obrázok. Mení sa, keď: 

• zavádzate nový systém, 

• meníte dodávateľa, 

• pribúdajú prístupy, zariadenia, ľudia, 

• stane sa incident, 

• mení sa regulácia alebo požiadavky zákazníkov. 

Príklad matice rizík v praxi 

Scenár A: phishing a krádež účtu (e-mail / identita) 

• pravdepodobnosť: vysoká (bežné útoky, veľa e-mailovej komunikácie), 

• dopad: stredný až vysoký (podvod v platbách, únik komunikácie, reputácia). Výsledok v matici: vysoké riziko → riešiť prioritne. 

Scenár B: výpadok cloudu / dodávateľa 

• pravdepodobnosť: stredná, 

• dopad: vysoký (zastavenie prevádzky, SLA, zákazníci). Výsledok v matici: vysoké riziko → plánovať zníženie a pripravenosť. 

Scenár C: odcudzené zariadenie bez šifrovania 

• pravdepodobnosť: stredná, 

• dopad: stredný až vysoký (podľa typu dát). Výsledok v matici: stredné až vysoké → podľa reality firmy. 

Najčastejšie chyby pri matici rizík 

• Nejasné definície škál (potom sa každé riziko dá „uhrať“ na stred). 

• Zámena rizika a zraniteľnosti (matica je potom plná technických položiek bez dopadu). 

• Hodnotenie bez ľudí z prevádzky (dopad je podhodnotený). 

• Príliš zložitá matica na začiatok (5×5 je fajn, ale len keď máte disciplínu). 

• Matica bez ďalšieho kroku (ak z nej nevzniknú priority, nič sa nezmení). 

Ako pomáha RiskMinder pri práci s maticou rizík 

Matica rizík je užitočná len vtedy, keď máte riziká pomenované jednotne a viete ich hodnotiť konzistentne aj pri ďalšej revízii. RiskMinder je navrhnutý tak, aby vám pomohol s tou „papierovo-procesnou“ časťou riadenia rizík: 

• viesť register aktív, hrozieb, zraniteľností a rizík v jednom prostredí, 

• používať jednotný risk scoring naviazaný na NIS2, zákon o kybernetickej bezpečnosti, NBÚ a ISO 27001, 

• priraďovať vlastníkov rizík, plánovať opatrenia a sledovať vývoj riadených rizík (neriešené, znížené, zvyškové, akceptované), 

• využívať prednastavené katalógy a dopĺňať ich podľa vašich potrieb, 

• generovať audit-ready reporty pre vedenie a audítora, ktoré viete použiť aj pri dohľade NBÚ. 

V praxi to znamená, že matica rizík nie je „raz za rok obrázok“, ale prehľadný spôsob, ako v čase vidieť, ktoré riziká sú stále kritické, ktoré ste už znížili a ktoré sú zvyškové alebo akceptované. 

FAQ