E-business mění chování firem a společně s novými příležitostmi přináší také nová rizika. Vzhledem ke stále rostoucím investicím do této oblasti se váha těchto rizik zvyšuje. Příklady mluví za vše: Aukční dům eBay ztratil během téměř jednodenního výpadku v červnu 1999 pět milionů dolarů, virus s údajným obrázkem tenistky dokáže zaplavit svět během dvou dnů. Elektronické útoky, výpadky, ztráty - vše může být spojováno se slabinami v organizační či technické rovině. Všechny potíže však vyplývají z mnohem širšího problému - slabá strategie řízení rizik. Propracovaný systém odpovídající klíčovým podnikatelským hrozbám dokáže chybám předejít.


Jak řídit riziko
Mnoho firem přichází do elektronického světa velmi nepřipravených. Žene je vidina nových trhů. Jsou úspěšné ve svém oboru podnikání, ale nemají širší znalost nového prostředí. Neuvědomují si, že navázáním nových vztahů ztrácejí také část své samostatnosti. Vedení musí vypracovat novou e-business strategii a provázat ji s globální strategií společnosti. Strategie musí dávat odpovědi na následující otázky:

. Jaké jsou očekávané přínosy e-businessu pro společnost, jak budou ovlivněny výkonové ukazatele?
. Jak bude ovlivněna situace na trhu?
. Jak jsou zaměstnanci připraveni?
. Jak mohou být určena a řízena rizika?

Při tvorbě strategie se tedy jasně identifikují nová rizika, je třeba stanovit jejich měřítka a vyvinout nové prostředky (aplikace a infrastrukturu) v nejrizikovějších oblastech. Je nutné připomenout, že rizika nepřibývají pouze na technologické úrovni (např. propojení s dalšími sítěmi). Infrastruktura řízení rizik musí být samostatná a formalizovaná, s vlastními prostředky a rozpočtem. Pro určení odpovědnosti je nejlépe ustavit speciální oddělení, které dohlíží na její implementaci a má plnou podporu managementu.

Organizace si musí nadefinovat formální systém bezpečnostních politik a praktik, která mají úzký vztah k celkové strategii a IT strategii. Tyto politiky určují požadavky na bezpečnost a důvěrnost procesů a technologií. Tyto politiky musí být široce prodiskutovány v celé organizaci. Mnoho organizací se zastavuje na tomto bodě - mají nadefinovaná pravidla, nemají však již nástroje k jejich nasazení a monitorování. Hlavní příčinou bývá to, že uživatelé nejsou s těmito pravidly dostatečně seznámeni. Každý zaměstnanec musí vědět, jak se zachovat při pádu systému či napadení virem. Klíčem je tedy především kvalitní a vyškolený personál, rozdělení odpovědnosti a citlivá provázanost politik s vrstvou aplikací a technologií.

Mnoho společností spojuje řízení rizik čistě s aplikační úrovní a jejich kontrola se rozchází s komplexní strategií. Kontrola bezpečnosti se poté v jednotlivých aplikacích liší. Organizace musí stanovit na bezpečnost aplikací jednotná měřítka včetně produktů třetích stran. Výhodné je tedy využití standardů. Stejný požadavek musí být kladen také na technologie.

Aspekty řízení rizik	Cílová vize	Potencionální hrozby
Strategie	Nadefinovaná strategie podporovaná a projednaná napříč managementem	Nekomplexnost
Program	Organizace, zdroje a dovednosti pro aplikaci strategie	Neschopnost reagovat na náhlé změny a události
Politiky a procedury	Implementované politiky a procedury efektivně podporují strategii	Personál nepracuje ve smyslu celopodnikové strategie
Uplatňování a monitorování	Procesy správně monitorují naplňování politik a procedur	Chybějící varovné signály
Aplikace	Aplikace a související procesy podporují integritu a dostupnost dat	Neúčinné procesy proti ztrátě dat
Technologie	Technologie zahrnující hardware, software, komunikace a další komponenty spolehlivě a bezpečně funguje	Pád systému, ztráta příjmů

Tabulka 1: Model pro řízení rizik e-businessu

Jak se chovají manažeři?
Průzkum oddělení Information Risk Management společnosti KPMG provedený v roce 2000 ve velkých britských společnostech ukazuje, že firmy bez ohledu na jejich hlavní zaměření (tradiční i dot com společnosti) vystavují sebe i své zákazníky vysokému riziku. KPMG oslovilo 179 managerů odpovědných za oblast informační bezpečnosti. Výsledky byly jednoznačné - nová rizika nejsou dostatečně ošetřena a hrozby narůstají. Uveďme si některé konkrétní výsledky:

. 98 % respondentů využívá Internet
. 78 % respondentů si uvědomuje, že hlavní překážkou e-commerce je bezpečnost
. 60 % organizací řeší problémy informační bezpečnosti pouze na úrovni IT managementu
. 29 % organizací s připojením na Internet není ochráněna firewallem

Celá studie je k dispozici na http://www.kpmg.cz/library/pdfs/mezpubl/security_survey.pdf.

Můžeme si přiznat, že Velká Británie má před Českou republikou v oblasti e-businessu jistý náskok. Neměli bychom proto opakovat chyby druhých.