Nezávislý e-zin o řízení informačních rizik, kybernetické bezpečnosti a strategickém myšlení za hranicemi best practice. Od expertů pro experty.

Neformální vzdělávání: certifikace v oblasti kybernetické bezpečnosti

Většina mezinárodních certifikací v oblasti kybernetické bezpečnosti pochází z USA, což odráží dlouhodobou dominanci amerických organizací v této oblasti.

Nicméně, tyto certifikace jsou uznávané globálně a často slouží jako standardy v oboru. Uveďme si ty nejznámější:

Štítky:
celý článek

Analýza rizik v silně regulovaném odvětví: povinnost, formalita, nebo klíčová obrana?

Organizace působící ve vysoce regulovaném prostředí patří mezi nejlépe zabezpečené instituce vůbec.

Mají zavedená veškerá doporučená opatření, často v režimu „best in breed“. Pravidelně procházejí audity, podléhají detailnímu dohledu regulátorů a disponují zdroji, o kterých si většina firem může nechat jen zdát. V takovém prostředí se může zdát, že kvantitativní analýza kybernetických rizik je zbytečná.

Štítky:
celý článek

Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 6. díl

Černá labuť, šedý nosorožec, černý slon, černá medůza, bílá labuť jsou metaforická označení, která nám pomáhají lépe pochopit různé typy rizik a jejich dynamiku.

Každé uvedené zvíře přináší nový úhel pohledu na to, jak může riziko vzniknout, jak ho rozpoznat a jak s ním efektivně pracovat. A začneme těmi nejznámějšími.

Štítky:
celý článek

Zapomeňte na inherentní riziko

Před pár lety jsem zde otevřel otázku, zda má v oblasti informační a kybernetické bezpečnosti smysl se zabývat pojmem „inherentní riziko“. Dnes říkám naprosto otevřeně: „Nemá.“

Ano, vím, že se to mnoha expertům opět nebude líbit. Budou zásadně nesouhlasit. Ale nemohu jinak.

celý článek

EU chce být velmocí, ale přitom je totálně závislá

Evropská unie se snaží budovat strategickou autonomii, tedy schopnost činit klíčová rozhodnutí nezávisle na vnějších mocnostech.

Ať ale sáhnete kamkoli, téměř vše běží na základech, které nemáme zcela pod kontrolou, což představuje nezanedbatelné bezpečnostní riziko.

celý článek

Napomáháme zatajováním podstatných informací o kybernetických útocích útočníkům?

Kybernetické útoky na organizace v České republice jsou stále častějším jevem. Přesto jsou informace, které se dostávají do médií, často povrchní, nesystematické a postrádají jakýkoliv praktický význam pro odbornou veřejnost i potenciální oběti.

Tento článek představuje dva pohledy na problematiku zveřejňování detailů o kybernetických útocích: přístup, který zastávám já, a umírněnější přístup ChatGPT.

Štítky:
celý článek

Řízení informační bezpečnosti v podmínkách dokonalé a nedokonalé nejistoty – 5. díl

V minulém dílu našeho seriálu jsem uvedl koncept černé labutě a pár příkladů. Nyní se pojďme zamyslet nad tím, jak se na černé labutě připravit.

Nechme se volně inspirovat dílem Nassima Nicholase Taleba, a především jeho myšlenkou robustnosti a antifragility. Tedy budováním odolných systémů schopných prosperovat v prostředí, které se vyznačuje stále větší komplexitou a nepředvídatelností.

Štítky:
celý článek

Co mají společného Velký hanojský masakr krys a moderní přístupy k řízení rizik

Formou překladu zahraničního názorového článku What the Great Hanoi Rat Massacre of 1902 and Modern Risk Practices Have in Common vám přinášíme pohled „Z Nového světa“ od Tony Martin-Vegue.

Doufáme, že vám tento článek promluví z duše stejně, jako oslovila americké publikum v roce 1893 světoznámá symfonie „From the New World“ Antonína Dvořáka.

celý článek

Jak firemní prostředí deformuje náš přirozený úsudek a nutí nás používat risk matice

Je pozoruhodné, jak rozdílně lidé přistupují k riziku v práci a v osobním životě.

Tento zásadní kontrast patrný optikou behaviorální ekonomie je možná klíčem k pochopení, proč jsou risk matice ve firmách tak oblíbené, a proč se jich někteří manažeři nechtějí vzdát ani pod tíhou matematických důkazů o jejich totální nespolehlivosti.

Štítky: ,
celý článek

Kvantitativní analýza kybernetických rizik: Risk Tolerance Curve

Křivka tolerovaného rizika (Risk Tolerance Curve, RTC) ukazuje, co ještě firma a její management „ustojí“, tj. jaké celkové škody vstřebá (např. v rámci provozních nákladů), na jaké má naspořeno (např. v rámci treasury managementu) a na jaké je pojištěná (se spoluúčastí a limity plnění).

RTC musíme odvodit (elicitovat) z řady bodů (konkrétních prahů bolesti) v hlavách naší audience (Top Management a zástupci Businessu, typicky mimo IT a Cyber Risk), které pak propojíme (interpolujeme) nějakou vhodnou sadou křivek.

Štítky:
celý článek