Posúdenie rizík: základ, bez ktorého kyberbezpečnosť nefunguje

Kybernetická bezpečnosť sa často zredukuje na „máme antivírus a hotovo“. Lenže v praxi problém zvyčajne nespôsobí nedostatok antivír. Skôr to, že ste nevedeli, ktoré slabé miesta sú pre vás najnebezpečnejšie a čo riešiť ako prvé. 

Presne na to slúži posúdenie rizík: dá vám poradie priorít a jasné rozhodnutia, aby ste neinvestovali čas a peniaze do vecí, ktoré vás reálne nechránia. 

Čo je posúdenie rizík 

Posúdenie rizík je systematický proces, v ktorom: 

• identifikujete, čo je pre firmu najcennejšie (aktíva a procesy), 

• pomenujete hrozby (čo sa môže stať), 

• odhalíte zraniteľnosti (prečo sa to môže stať práve u vás), 

• odhadnete pravdepodobnosť a dopad, 

• určíte úroveň rizika a rozhodnete, čo s ním urobíte. 

Výsledkom nie je „papier do šuplíka“, ale praktický prehľad: ktoré riziká sú kritické, ktoré tolerovateľné, ktoré viete znížiť a ktoré musíte vedome akceptovať. 

Prečo je posúdenie rizík dôležité aj mimo IT 

Posúdenie rizík nie je len technická disciplína. Je to manažérske rozhodovanie o tom, čo môže ohroziť chod firmy. 

V praxi vám pomôže: 

• nastaviť priority (riešite to, čo vás môže najviac položiť), 

• znížiť výpadky a náklady na incidenty, 

• lepšie plánovať investície do bezpečnosti (a obhájiť ich pred vedením), 

• splniť požiadavky regulácií, auditov, zákazníkov či poisťovní, 

• mať pripravené scenáre, keď sa niečo stane (a nereagovať v panike). 

Kto má byť pri posúdení rizík 

Najčastejšia chyba je, že posúdenie rizík robí len IT. Realita je, že dopady nesie celá firma.

Ideálne zapojíte: 

• vedenie (schvaľuje priority a toleranciu rizika), 

• IT a bezpečnosť (technické vstupy), 

• vlastníkov procesov (účtovníctvo, obchod, prevádzka, HR), 

• právne a compliance (zmluvy, regulácie, povinnosti), 

• externých dodávateľov, ak prevádzkujú kľúčové systémy. 

Posúdenie rizík je tímová práca, inak skončíte s peknou tabuľkou, ktorá neodráža realitu. 

Ako urobiť posúdenie rizík krok za krokom 

1. Určte rozsah a cieľ 

Najprv si nastavte, čo presne hodnotíte. 

V praxi: 

• celú firmu alebo len vybraný systém/proces (napr. fakturácia, e-shop, objednávky), 

• aké obdobie riešite (najčastejšie 12 mesiacov), 

• aké kritériá použijete (škála dopadu a pravdepodobnosti). 

2. Zmapujte aktíva a procesy

Bez aktív neviete posúdiť riziko. 

Aktívom môže byť: 

• systém (CRM, e-mail, účtovníctvo), 

• dáta (osobné údaje, cenotvorba, zmluvy), 

• služba (web, zákaznícka podpora), 

• infraštruktúra (servery, cloud, siete), 

• ľudia a know-how (kritické roly, prístupy). 

Tip z praxe: nepridávajte 200 položiek. Začnite tým, čo zastaví firmu, ak to vypadne. 

3. Pomenujte hrozby

Hrozby sú udalosti alebo scenáre, ktoré môžu spôsobiť škodu. 

Typicky: 

• phishing a krádež účtov (e-mail, M365/Google, bankovníctvo), 

• ransomvér a nedostupnosť systémov, 

• únik dát (chybná konfigurácia cloudu, odcudzené zariadenie), 

• zlyhanie dodávateľa (cloud, hosting, ERP), 

• interné pochybenie (omyl, zlá práca s prístupmi), 

• fyzické incidenty (požiar, krádež, výpadok elektriny). 

4. Identifikujte zraniteľnosti

Zraniteľnosť je dôvod, prečo sa hrozba môže stať práve u vás. 

V praxi: 

• slabé alebo zdieľané heslá, 

• chýbajúce MFA, 

• neaktualizované systémy, 

• príliš veľa oprávnení (ľudia majú prístup „na všetko“), 

• nejasné procesy (kto schvaľuje platby, zmeny, prístupy), 

• slabé zálohovanie a obnova. 

5. Odhadnite dopad a pravdepodobnosť 

Toto je srdce posúdenia rizík. Nejde o „dokonalú matematiku“, ale o konzistentný odhad. 

Dopad si viete rozdeliť napríklad na: 

• finančný (priamy náklad, ušlý zisk), 

• prevádzkový (výpadok, obmedzenie služieb), 

• právny (pokuty, porušenie povinností), 

• reputačný (strata dôvery, odchod zákazníkov). 

Pravdepodobnosť odhadnete podľa: 

• histórie incidentov, 

• expozície (koľko ľudí, prístupov, zariadení), 

• toho, ako sú nastavené základné ochrany. 

6. Určte úroveň rizika a priority 

Najčastejšie sa používa jednoduchá matica: dopad × pravdepodobnosť. 

Výstupom má byť poradie: 

• kritické riziká (riešiť okamžite), 

• vysoké (riešiť prioritne), 

• stredné (plánovať), 

• nízke (monitorovať alebo akceptovať). 

7. Rozhodnite, čo s rizikom urobíte 

Pri každom významnom riziku má zmysel jasne povedať, aká bude stratégia: 

• znížiť (pridať opatrenia), 

• vyhnúť sa (zmeniť proces, vypnúť službu, nahradiť riešenie), 

• preniesť (poistenie, zmluvné prenosy – nie vždy funguje na 100 %), 

• akceptovať (vedomé rozhodnutie, keď náklady na zníženie nedávajú zmysel). 

8. Vyhodnoťte zvyškové riziko 

Po návrhu opatrení si položte otázku: ak by sa incident stal aj po zlepšeniach, je zvyškové riziko prijateľné? 

V praxi je dôležité, aby zvyškové riziko schválilo vedenie, nie IT. 

9. Zdokumentujte výsledky

Posúdenie rizík má mať formu, ku ktorej sa viete vrátiť a obhájiť ju pri kontrole, audite aj interne. 

Minimum, ktoré by ste mali mať: 

• metodiku (ako ste hodnotili dopad a pravdepodobnosť), 

• register rizík (zoznam, hodnotenie, vlastníci, rozhodnutia), 

• záznam o schválení (kto a kedy potvrdil prioritizáciu a akceptácie). 

Najčastejšie chyby pri posúdení rizík 

• Príliš technický pohľad bez dopadov na biznis (potom sa to nedá obhájiť). 

• Zoznam „všetkého“, ktorý sa nedá udržiavať. 

• Hodnotenie bez jednotnej metodiky (každý si dá iné čísla). 

• Zámena rizík a opatrení (riziko nie je „nemáme MFA“; riziko je „krádež účtu a finančná škoda“). 

• Jednorazové posúdenie rizík bez aktualizácií (po zmene systému je to zastarané). 

Jednoduchý príklad z praxe 

Scenár: 

• Proces: schvaľovanie platieb a faktúr. 

• Aktívum: e-mail + bankový prístup + účtovníctvo. 

• Hrozba: phishing a „zmena čísla účtu dodávateľa“. 

• Zraniteľnosť: bez MFA, schvaľovanie platieb len cez e-mail, chýba druhé overenie. 

Dopad: 

• finančná strata, 

• reputačná škoda, 

• čas na riešenie a právne kroky. 

Pravdepodobnosť: 

• stredná až vysoká (bežné útoky, veľa e-mailovej komunikácie). 

Rozhodnutie: 

• znížiť riziko (MFA, dvojité schválenie, telefonické overenie pri zmene účtu, pravidlá pre faktúry). 

Zvyškové riziko: 

• stále existuje (ľudská chyba), ale je výrazne nižšie a lepšie kontrolované. 

Ako často robiť posúdenie rizík 

Ako minimum: 

• pravidelne (napr. raz ročne), 

• po významnej zmene (nový systém, migrácia do cloudu, zmena dodávateľa), 

• po incidente, 

• pri nových požiadavkách zákazníkov alebo regulácie. 

Posúdenie rizík má byť živý proces, nie jednorazový projekt. 

Čo má byť reálnym výstupom 

Ak má byť posúdenie rizík použiteľné, výstupy by mali umožniť: 

• rýchlo vidieť najkritickejšie riziká, 

• mať jasne určených vlastníkov rizík, 

• vedieť ukázať vývoj v čase. 

V praxi sa osvedčuje sledovať stav a vývoj riadených rizík, napríklad: 

• neriešené, 

• znížené, 

• zvyškové, 

• akceptované, 

a popri tom mať zaznamenanú závažnosť rizika (ako vážne je vzhľadom na dopad a pravdepodobnosť). 

Záver 

Posúdenie rizík má zmysel vtedy, keď z neho viete robiť rozhodnutia: čo riešiť hneď, čo naplánovať a čo vedome akceptovať. Keď máte jasne pomenované riziká, jednotné hodnotenie a pravidelnú revíziu, bezpečnosť prestane byť „reakcia na problém“ a stane sa riadeným procesom, ktorý chráni chod firmy. 

Ako pomáha RiskMinder pri posúdení rizík 

Ak chcete mať posúdenie rizík dlhodobo udržateľné, pomáha mať systém, v ktorom sa k rizikám viete priebežne vracať a porovnávať ich v čase. RiskMinder vám v praxi umožní: 

• pracovať so závažnosťou rizika, 

• sledovať stav a vývoj riadených rizík (neriešené, znížené, zvyškové, akceptované), 

• rozširovať katalógy podľa potrieb zákazníka (napr. katalógy hrozieb, zraniteľností, následkov, opatrení), 

• generovať/vytvárať dokumenty potrebné pre audit. 

Vďaka tomu posúdenie rizík nepôsobí ako jednorazová formalita, ale ako prehľadný rámec, ktorý viete používať pri rozhodovaní, interných kontrolách aj pri audite. 

FAQ