Risk analytik ve vaší firmě nerozhoduje o rizicích. O těch rozhodujete samozřejmě vy. Ale zpravidla rozhodujete podle podkladů, které pro vás připravil právě onen risk analytik.

Pokud dostanete špatně zpracovanou analýzu rizik, budete rozhodovat o rozpočtech, prioritách, bezpečnostních opatřeních, pojištění, technologiích nebo organizačních změnách na základě nepřesných, neúplných nebo zavádějících informací. A můžete za to nést i osobní odpovědnost.

V CRQ často modelujeme dopad pomocí lognormálního rozdělení. Lognormal je ale neomezený, má nekonečný pravý ocas, což někdy nechceme, protože chceme zabránit tomu, aby model generoval ekonomicky nemožné škody.

V zásadě máme dvě jednoduché možnosti, jak k tomuto problému prakticky přistoupit v rámci lognormálního modelu, a to truncaci (oříznutí) a capování (zastropování). V tomto článku si rozebereme oba tyto přístupy.

S hodnocením zranitelností pomocí standardu CVSS jste se na těchto stránkách mohli setkat již několikrát. Etičtí hackeři jej používají pro stanovení závažnosti zranitelnosti, kterou v hodnoceném systému nalezli, a firmy jej pak následně používají pro prioritizaci oprav.

Všichni jaksi předpokládají, že CVSS skóre je objektivní, konzistentní a že stejné zranitelnosti povedou u různých hodnotitelů ke stejnému nebo alespoň velmi podobnému výsledku. Jenže ono to tak jednoduché není.

Krizové plány často vypadají dobře, dokud je nikdo nemusí použít. Mají kapitoly, tabulky, kontakty, odpovědnosti i formální schválení. Jenže ve chvíli, kdy se incident začne měnit v krizi, rozhoduje něco úplně jiného: kdo má právo plán aktivovat, kdo má poslední slovo a podle čeho se určí priority.

Pokud krizový plán na tyto otázky neodpovídá, není to nástroj řízení. Je to jen další dokument, který uklidňuje organizaci přesně do okamžiku, kdy začne být opravdu potřeba.

Na první pohled vypadá všechno idylicky. Smaragdově zelené zóny risk matice připomínají klidné mořské zátoky bez vln, bez bouří, bez důvodu k obavám.

Jenže podobně jako u mořských řas stačí velice málo a moře se náhle zbarví do ruda.

Přechod od kvalitativních metod ke kvantitativní analýze rizik nebývá jednoduchý. Nejjednodušší cesta obvykle vede přes semikvantitativní přístup. Místo slov a barev začneme pracovat s čísly, ale pořád ještě ne s celým pravděpodobnostním rozložením.

V této fázi často přichází lákavé zjednodušení. Vezmeme intervaly, které už máme někde v metodice definované, použijeme jejich středy a máme krásné číslo. Asi už tušíte, že s tím bude spojený nějaký problém.

U ransomwaru je vhodné oddělit dvě roviny, které bývají v debatách zbytečně směšovány. První rovinou je trestní odpovědnost pachatelů. Druhou rovinou je právní postavení oběti, která se pod tlakem rozhodne zaplatit výkupné. Právě tato druhá rovina je daleko složitější, než jak se někdy prezentuje.

Na straně útočníků typicky nejde jen o vydírání, ale současně i o neoprávněný přístup k počítačovému systému a neoprávněný zásah do systému nebo dat. Nás zde ale nezajímá pachatel, nýbrž oběť, která stojí před otázkou, zda zaplacením výkupného nepřekračuje hranici zákona.

V okamžiku, kdy máme k dispozici rizikové scénáře, přichází další krok: oslovíme vybrané experty, aby nám dodali své odhady jak pro frekvenci výskytu daného scénáře, tak pro škody, které z něj mohou vyplynout.

Jenže právě tady se z celé analýzy může stát fraška a zbytečná matematická ekivilbristika jen proto, že každý expert může tentýž scénář chápat trochu jinak.

V okamžiku, kdy máme stanovit škodu, která by mohla vzniknout v důsledku určitého kybernetického útoku popsaného v rámci konkrétního rizikového scénáře, stojíme před otázkou, jak ji vlastně vyjádřit.

Pokud bychom škodu popsali jediným číslem, získali bychom jen zjednodušený obraz reality. Ve skutečnosti totiž může nastat celé spektrum různých následků a ani průměr, ani medián samy o sobě tuto variabilitu nevystihnou.

Správa informační bezpečnosti (Information Security Governance, zkr. ISG) a řízení informační bezpečnosti (Information Security Management, zkr. ISM) jsou dva propojené cykly, které bývají v praxi často zaměňovány.

První je ale governance cyklus realizovaný na úrovni vrcholového vedení, který je spojován s normou ISO/IEC 27014. Druhý je cyklus na úrovni výkonného řízení, typicky realizovaný jako ISMS podle ISO/IEC 27001.