Publikováno: 10. 03. 2026, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 85x
Playbook musí poskytnout návod pro řešení závažného bezpečnostního incidentu, kdy je nutné pod tlakem dělat ty správné kroky, a kdy mozek často jede na autopilota. Proto musí být napsaný jednoduše, jasně a akčně.
Každý krok musí být jednoznačný a srozumitelný i pod kognitivním zatížením, neboť mozek ve stresu ztrácí schopnost komplexního uvažování. Takže žádné filozofování, ale naprosto jasné pokyny, kdo, co a kdy má udělat.
Publikováno: 22. 02. 2026, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 165x
V tomto příspěvku se dozvíte, proč byste měli kybernetická rizika kvantifikovat. A když říkám kvantifikovat, tak tím myslím skutečně kvantifikovat, ne jen mechanicky násobit ordinální hodnoty mezi sebou.
Když totiž u konkrétního typu incidentu odhadnete pravděpodobnost výskytu a finanční dopad a celé riziko vyjádříte v korunách, začnete konečně mluvit jazykem, kterému management rozumí nejlépe.
Publikováno: 18. 02. 2026, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 184x
Když se tahá Gumbel, Weibull, Fréchet a Jeffreysův prior do řízení kybernetických rizik, tak se risk matice ozývá.
Kyberbezpečnost není raketová věda. To říkáme pořád. Ale pár doktorandů si to evidentně neřeklo dostatečně nahlas.
Publikováno: 08. 02. 2026, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 197x
, 1 komentář
V bezpečnosti se nyní hodně mluví o CTEM, AEV a BAS a nejeden CISO se tak nechal zlákat líbivou prezentací firem, které tento přístup k řízení zranitelností propagují.
Aby ne, když to marketing výrobců těchto SW servíruje jako „Nasadíš náš SW, a on ti nejenže řekne, jakou zranitelností začít, ale i jak velké představuje riziko v korunách“. No, nekup to.
Publikováno: 01. 02. 2026, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 453x
V jednom minulém příspěvku padlo, že jedním z důvodů, proč se manažeři tak drží risk matic, je, že se jim nedostane v rozumném čase zpětné vazby, zda jejich odhady pravděpodobnosti a dopadů odpovídaly realitě. Což je pravda, protože bez zpětné vazby se dá věřit téměř čemukoli.
Tedy i tomu, že jim ta jejich kvalitativní metodika hodnocení rizik funguje. Tak nějak jsou všichni přesvědčení, že zrovna ta jejich je v něčem tak výjimečná, že funguje anebo že jsou tak výjimeční oni v tom, jak ji používají. Což je samozřejmě čirá utopie.
Publikováno: 28. 01. 2026, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 279x
, 1 komentář
Na první pohled tento návod jak prioritizovat systémy, u kterých by se měla řešit migrace na postkvantovou kryptografii, vypadá celkem rozumně.
V dokumentu „Prioritising Post-Quantum Cryptography Migration Activities in Financial Services“ uvádějí autoři celkem jednoduchý postup: spočítat dvě skóre (Quantum Risk Score a Migration Time Score) a podle jejich kombinace pak rozdělit systémy do třech kategorií. Jenže jej rozhodně nemohu doporučit. Ptáte se proč? Tak čtěte dál.
Publikováno: 25. 01. 2026, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 374x
I kdybyste měli řízení rizik hodnocené podle CMM na stupni 5, pominu, že většina firem je maximálně na 3, a měli tak všechno dokumentované, měřené, auditovatelné a pravidelně zlepšované, budete se stejně potácet nad propastí.
Ono totiž, když je samotná metoda hodnocení rizik postavená na úrovni středověké medicíny jako je zaříkávání a pouštění žilou, tak rizika reálně neřídíte a dostáváte se na úroveň středověkého ranhojiče.
Publikováno: 16. 01. 2026, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 222x
Když v CRQ používáme Monte Carlo simulaci, dostáváme velké množství výsledků: někdy za každý rok jednu agregovanou ztrátu, jindy navíc i jednotlivé ztráty během roku. Z těchto výsledků pak obvykle sestavujeme křivku překročení ztrát (Loss Exceedance Curve. zkr. LEC).
A možná jste si i všimli, že zatímco na ose X je snad téměř vždy uvedena škoda, tak na ose Y bývá dost často stejně tak pravděpodobnost jako frekvence. Křivka pak říká, s jakou pravděpodobností nebo jak často překračujeme daný práh.
Publikováno: 10. 01. 2026, v rubrice:
Řízení rizik, autor:
Miroslav Čermák
, zobrazeno: 302x
Byť je řízení rizik vyžadováno i legislativou, která na něj klade důraz a mnozí si dokonce i uvědomují jeho smysl, a leckdy se o řízení rizik i opravdu snaží, přesto dělají systematicky špatná rozhodnutí, protože se rozhodují na základě špatných vstupů.
Ve většině organizací rizika někdo identifikuje, analyzuje a posuzuje. Postupuje přitom dle schválené metodiky. Výstupy vypadají strukturovaně. Rizika jsou popsána a vyhodnocena. Jsou navrženy způsoby zvládání. Rizika mají své vlastníky a jsou zvládána i v daném termínu. Formálně se zdá, že je vše v naprostém pořádku. Problém je však někde zcela jinde.
Publikováno: 03. 01. 2026, v rubrice:
Bezpečnost, autor:
Miroslav Čermák
, zobrazeno: 329x

Čas od času se v médiích nebo prezentacích poradenských firem objeví tvrzení typu: „Firmy čelí v průměru tisícům kybernetických útoků týdně.“ Na první pohled to zní děsivě. Na druhý pohled to ale začíná být trochu podezřelé.
Pokud bychom totiž toto tvrzení brali doslova, znamenalo by to, že každá větší firma je prakticky neustále pod palbou hackerů a nemá ani šanci normálně fungovat. Realita kybernetické bezpečnosti je však naštěstí výrazně méně dramatická, ale o to zajímavější.