Publikováno: 15. 01. 2025, v rubrice:
Bezpečnost, autor:
Miroslav Čermák and
Michal Hanus
, zobrazeno: 187x
Je s podivem, že i přes existenci řady vědeckých článků a předložení matematických důkazů a odstrašujících příkladů o nevhodnosti risk matic k hodnocení rizik, se risk matice stále těší takové oblibě.
Použití kvalitativních risk matic v organizacích se bohužel stalo naprosto běžnou záležitostí. A musíme si přiznat, že snaha o zjednodušení problematiky řízení rizik v minulých letech se nám prostě vymstila.
Publikováno: 14. 01. 2025, v rubrice:
Bezpečnost, autor:
Michal Hanus and
Miroslav Čermák
, zobrazeno: 172x
Jedním z nejčastějších mýtů, proč se nepustit do kvantitativní analýzy kybernetických rizik (CRQ) je údajný nedostatek informací (dat, údajů, evidence).
Vychází ze „školních“ představ, že se daná věc na milimetr přesně opakovaně „změří“ a na výsledky aplikujeme tradiční statistiku ze století páry, kterou nám nevybíravě a nezáživně vtloukali do hlavy a kazili nám tak naše studentská léta.
Publikováno: 05. 01. 2025, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 137x
Průměrný breach life cycle v roce 2024 nám poklesl na 258 dnů, což je nejnižší hodnota za posledních sedm let. Ale není důvod kvůli tomu jásat.
Tato hodnota zahrnuje průměrně 204 dnů na identifikaci útoku a 54 dnů na jeho částečné řešení. Nicméně, a teď čtěte pozorně, plné zotavení organizaci často trvá mnohem déle.
Publikováno: 30. 12. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 410x
V oblasti řízení informační bezpečnosti a kybernetických rizik se organizace často ocitají v situacích, kdy musí rozhodovat v podmínkách nejistoty (uncertainty).
Zatímco frameworky jako NIST CSF, FAIR nebo ISO 31000 problematiku nejistoty zcela opomíjejí, britský framework M_o_R ji zahrnuje, byť jen okrajově. Právě na tento framework navážu a pokusím se koncept nejistoty hlouběji rozpracovat.
Publikováno: 09. 12. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 288x
Přichází konec roku a tak opět nastává čas se zamyslet nad tím, jakým kybernetickým hrozbám budeme čelit v průběhu roku 2025.
Vzhledem k pokročilejším bezpečnostním řešením se budeme stále častěji setkávat s vícefázovými a déle trvajícími útoky, které budou mít větší šanci uniknout pokročilým detekcím.
Publikováno: 03. 12. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák and
Michal Hanus
, aktualizováno: 20. 12. 2024, zobrazeno: 325x
Znovu musíme zopakovat, že risk matice jest pro valuaci rizik naprosto nevhodný nástroj.
Nyní se podíváme na to, jak moc je risk matice, kterou používáte, špatná a o kolik miliónů můžete v důsledku jejího používání přijít.
Publikováno: 18. 11. 2024, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, aktualizováno: 21. 11. 2024, zobrazeno: 304x
Risk apetit představuje takovou úroveň rizika, kterou je organizace ochotná akceptovat po zahrnutí všech současných kontrol.
V mezinárodním standardu ISO 27005:2022 je risk appetite definován jako: „Amount and type of risk that an organization is willing to pursue or retain.“
Publikováno: 08. 11. 2024, v rubrice:
Bezpečnost, autor:
Radim Faltus
, zobrazeno: 406x
Má vaše společnost zavedena nějaká pravidla, jak se mají vaši zaměstnanci chovat na sociálních sítích?
A pokud ano, kontrolujete a vynucujete jejich dodržování?
Publikováno: 31. 10. 2024, v rubrice:
Bezpečnost, autor:
Miroslav Čermák and
Michal Hanus
, aktualizováno: 20. 12. 2024, zobrazeno: 583x
Nepochopení toho, jak matice rizik, mapy rizik nebo chcete-li heat mapy fungují, je příčinou mnohých nedorozumění.
Matice rizik by měla primárně sloužit k vizualizaci rizik, tedy k rozřazení rizik dle typologie (podle vlivu/dominance pravděpodobnostní či dopadové složky rizika). Tj. k rámcové kategorizaci, a rozdělení na ta rizika, kterým byste se měli věnovat hned, kterým později, a kterým se nemusíte věnovat vůbec. Tedy ke snadné a rychlé prioritizaci, nikoli k jejich valuaci .
Publikováno: 19. 10. 2024, v rubrice:
Bezpečnost, autor:
Robert Malý
, zobrazeno: 477x
K tomuto článku mě dovedlo jakési rychlé ohlédnutí, co jsem za cca 25let, kdy se profesionálně věnuji kyberbezpečnosti viděl, protože ať už přímo nebo externě jsem měl možnost seznámit se s kyberbezpečností snad asi ve všech sektorech.
Nebudu mluvit o technologiích, ty se za 25 let neustále měnily i s ohledem na vývoj kyberútoků, kdy v 90. letech, v éře, kdy mnoho hackerských aktivit bylo motivováno spíše zvědavostí než zlým úmyslem až po dnešek, kdy zde kromě profesionální kyberkriminality máme i kybernetickou válku.