Řízení rizik v kyberbezpečnosti = selský rozum na papíře

manager-is-using-ballpoint-pen-marking-risk-assessment-matrix-high-risk-level
Ve firmách se o rizicích v souvislosti s kyberbezpečností často mluví až ve chvíli, kdy se něco pokazí. Data uniknou, projekt se opozdí, technika selže. Jenže řízení rizik není o krizovém managementu, ale o prevenci. A překvapivě nejde o nic složitého – spíš o schopnost věci pojmenovat, zhodnotit a rozhodnout se, co s nimi. Zdravý selský rozum. Jen je potřeba ho dostat na papír.

Co chránit?

V rámci řízení rizik se nejdřív díváme na tzv. aktiva – tedy vše, co má pro společnost nějakou hodnotu a co by mohlo být ohroženo. Nejsou to jen IT systémy. Naopak. Aktiva jsou:

  • Lidé – zaměstnanci, vedení, know-how v jejich hlavách
  • Data – smlouvy, databáze, obchodní dokumentace
  • Technika a vybavení – výrobní stroje, servery, auta
  • Procesy – způsob, jakým doručujete služby nebo vyrábíte
  • Dodavatelé a partneři – protože závislosti jsou rizikové samy o sobě

Ztráta jakéhokoliv z těchto aktiv (nebo výpadek v jejich fungování) má důsledky – finanční, reputační, provozní. Právě proto s nimi potřebujeme pracovat jako s něčím, co je zranitelné.

Co je to riziko?

Riziko zní hrozivě, ale v praxi jde o jednoduchou věc: pravděpodobnost, že se něco pokazí. K tomu potřebujete, aby se potkaly tři věci – aktivum, hrozba a zranitelnost. Pak se dá riziko zjednodušeně vypočítat například takhle:

Riziko = hodnota aktiva x hrozba x zranitelnost

Příklad: Uložíte důležité smlouvy (aktivum) jen na jeden server. Ten ale nikdo nezálohuje (zranitelnost). Pokud server selže (hrozba), smlouvy jsou pryč, protože systém byl zranitelný.

Jak se riziko projevuje? Většinou úplně obyčejně. Server spadne v pátek večer, když všichni odejdou domů. Klíčový člověk onemocní a projekt stojí. Dodavatel změní ceník a váš rozpočet je najednou mimo. Nic z toho není „neočekávatelná katastrofa“, ale spíš situace, se kterou se každá společnost dříve nebo později setká. Rozdíl je v tom, jestli ji překvapí nepřipravenou, nebo jestli už existuje plán B.

Řízení rizik potom znamená, že tahle spojení hledáme a rozhodujeme se, co s nimi:

  • některá rizika přijmeme (protože jsou malá nebo drahá na ošetření),
  • jiná zmírníme (např. školením, zálohováním, kontrolou dodavatelů),
  • a některá eliminujeme úplně (např. přestaneme provozovat rizikovou službu).

Prakticky se rizika často zapisují do tzv. „rizikové matice“ – tabulky nebo grafu, kde osa X znamená pravděpodobnost a osa Y dopad. Najednou vidíte, která rizika jsou malé a snesitelné, a která svítí červeně, protože jsou častá a drahá. Díky tomu se lépe rozhoduje, čím začít. Největší přidaná hodnota není v samotné tabulce, ale v tom, že nutí lidi sednout si ke stolu a rizika společně probrat.

Příklady firemních rizik

  • Máte jednoho ajťáka, který ví o systému všechno, ale jen on?
  • Riziko personální závislosti
  • Děláte nabídky v Excelu, který je jen na jednom počítači?
  • Riziko ztráty dat
  • Vyrábíte něco pro jednoho klíčového zákazníka?
  • Riziko přílišné závislosti
  • Máte servery ve sklepě, kde už jednou tekla voda?
  • Riziko fyzického poškození

Jak řídit firemní rizika?

Přihlaste se na celodenní online seminář o řízení rizik (23. 9. 2025). Zjistíte, jak poznat, co ve Vaší společnosti chránit a jak rizika udržet pod kontrolou.
Více informací

Rizika nejsou černobílá

Když se řekne „bezpečnostní riziko“, možná si také představíte hlavně bezpečnostní hackery a sofistikované kyberútoky. Jenže většina ztrát a průšvihů v organizacích nemá původ v IT, ale v lidech, procesech, nedorozuměních a prostě v neřízeném chaosu.

Příklad: V jedné společnosti měli dobře nastavený firewall, ale nevěděli, že jeden z dodavatelů má přístup na jejich server i po skončení smlouvy. Nedošlo k žádnému útoku nebo úniku dat, přesto šlo o vážné riziko.

Často se navíc zapomíná, že rizika nemusí být jen negativní. Stejný proces, kterým hodnotíte hrozby, se dá využít i pro hledání příležitostí. Když si všimnete, že závisíte příliš na jednom zákazníkovi, není to jen riziko – je to i signál, že by se vyplatilo rozšířit trh. Řízení rizik tak může být i podkladem pro obchodní rozhodnutí.

Kontinuita a systematičnost? Extrémně důležité

Když se řízení rizik dělá jednorázově nebo formálně (jen proto, že to někdo chce do ISO dokumentace), většinou to nemá žádný efekt. Proč? Protože rizika se mění. To, co bylo včera zásadní, může být dnes zanedbatelné – a naopak. Pandemie ukázala, že i firmy, které měly dobře zvládnutou techniku, narazily na lidský faktor: práce z domova, dostupnost zaměstnanců, komunikace na dálku. Kdo měl řízení rizik jako živý proces, přizpůsobil se rychle. Kdo měl „šanon s tabulkou“ na poličce, byl v problémech.

Dobrý přístup je ten, kde rizika přirozeně vstupují do rozhodování – při zavádění nového systému, změně dodavatele, i při revizi rozpočtů. A právě proto říkáme: selský rozum na papíře. Věci, které zaměstnanci často už dávno vnímají, ale nejsou nikde zachycené. A když odejdou, změní se okolnosti nebo dojde ke krizi, není z čeho vycházet.

Proto je důležité, aby se řízení rizik nedělalo jen „shora“. Když se ptáte lidí na provozu, na recepci nebo v týmu podpory, často ukážou na slabiny, které vedení vůbec netuší. Jeden IT administrátor vám řekne, že disky nejsou šifrované. Účetní připomene, že faktury se ukládají jen lokálně. Technik ve výrobě zmíní, že se stroje restartují ručně, a když není na směně nikdo zkušený, výroba stojí. Teprve když se tyhle střípky pospojují, máte realistický obrázek.

Risk management je byznysový nástroj

Řízení rizik ale ve výsledku není excelová tabulka ani povinný přílepek k auditu. Je to praktický způsob, jak omezit zbytečné ztráty a mít pod kontrolou to, na čem vaše společnost skutečně stojí. V jádru jde o schopnost dívat se dopředu, počítat s různými scénáři a mít připravený plán, jak ochránit to, co je pro vás nejcennější – lidi, data, procesy i pověst.

Zajímá Vás řízení rizik?

Přihlaste se na celodenní online seminář o řízení rizik nebo začněte zlehka – bezplatným webinářem pro začátečníky, kde vám ukážeme, jak začít a na co si dát pozor.
Chci na webinář zdarma
Webinář

Další články

businessman-illustrating-cybersecurity-concepts-office-setting
7 lekcí z roku 2025: co všechno se může pokazit v kyberbezpečnosti
Reálné incidenty, které nám v roce 2025 ukázaly, že problémy v kyberbezpečnosti nezpůsobují jen hackeři. Někdy k tomu stačí běžné procesní a lidské chyby.

ČÍST VÍCE

Customer care and support concept background faq question mark icon on a wooden cube closeup view laptop on a white office table photo
SOS: „Řeším nový kyberzákon na poslední chvíli“ – 8 užitečných otázek z praxe
Řešíte nový zákon o kybernetické bezpečnosti na poslední chvíli a hledáte odpovědi? Zodpověděli jsme časté dotazy, které Vám pomohou zorientovat se v nových povinnostech.

ČÍST VÍCE

Jak ohlásit regulovanou službu: Návod krok za krokem
Dopadá na vás nový zákon o kybernetické bezpečnosti a řešíte, jak ohlásit regulované služby? Máme pro vás návod, jak splnit povinnost krok za krokem.

ČÍST VÍCE

Newsletter

Chcete mít jistotu, že Vaše firma je chráněna před kybernetickými hrozbami a zároveň být v souladu s platnou legislativou? Přihlaste se k odběru newsletteru a získejte praktické rady od našich konzultantů s právním vzděláním.

Kliknutím na odebírat vyjadřujete souhlas se zpracováním osobních údajů pro marketingové účely.