Tento odborný e-book je určen vlastníkům firem, CEO a vrcholovému vedení, kteří nechtějí bezpečnost jen platit, ale skutečně ji řídit.

Tahle kniha nejde po povrchu. Neopakují se v ní fráze, které už jste slyšeli stokrát. Neprodává iluzi, že pár směrnic, několik technologií a jedna prezentace o phishingu udělají z firmy odolnou organizaci. Ukazuje, kde vedení firem selhává a co musí udělat jinak, pokud chce mít bezpečnost skutečně pod kontrolou.

Správa informační bezpečnosti (Information Security Governance, zkr. ISG) a řízení informační bezpečnosti (Information Security Management, zkr. ISM) jsou dva propojené cykly, které bývají v praxi často zaměňovány.

První je ale governance cyklus realizovaný na úrovni vrcholového vedení, který je spojován s normou ISO/IEC 27014. Druhý je cyklus na úrovni výkonného řízení, typicky realizovaný jako ISMS podle ISO/IEC 27001.

Každá organizace, která bere kybernetická rizika aspoň trochu vážně, by měla mít systém školení přizpůsobený různým skupinám zaměstnanců.

Každá z těchto skupin totiž potřebuje jiný typ školení. Nejde přitom jen o bezpečnostní osvětu ve smyslu phishingu, hesel a podezřelých e-mailů, ale také o znalost interních procesů, odpovědností, kontrolních mechanismů, používaných frameworků a pravidel, která se vztahují ke konkrétní roli.

Tradiční matice rizik, založené na kombinaci odhadované pravděpodobnosti a dopadu, byly v odborné literatuře opakovaně kritizovány pro metodologickou slabost, statistickou nekonzistenci a omezenou interpretační hodnotu (Cox, 2008; Aven, 2016).

Jejich slabina nespočívá pouze v ordinální povaze použitých škál, ale též v tendenci vytvářet dojem kvantitativní přesnosti tam, kde jsou vstupní pojmy samy o sobě vágní, kontextově proměnlivé a často mezi standardy odlišně vykládané.

Smyslem kvantitativní analýzy není budit dojem exaktnosti tam, kde máme jen omezená data. Smyslem je podpořit  správné rozhodnutí. Firma potřebuje vědět, jak velkou ztrátu ještě unese, kolik kapitálu, likvidity nebo pojistné ochrany má mít připraveno a kdy už riskuje, že ji určitý incident finančně zcela ochromí.

Právě proto nestačí jen říct, že „riziko je vysoké“ anebo že „může nastat velká škoda“. Management potřebuje alespoň orientačně vědět, o jakých částkách se  vůbec bavíme.

Kvalitních recenzentů si vážíme, protože jejich práce má význam nejen pro autora, ale i pro čtenáře. Pečlivá recenze zvyšuje odbornou úroveň publikovaného textu, posiluje jeho důvěryhodnost a dává čtenáři větší jistotu, že dostává promyšlený a odpovědně posouzený obsah. Proto nabízíme recenzentům možnost uvést své jméno u publikovaného příspěvku jako poděkování za čas, zkušenosti a odborný úsudek, které recenzi věnovali. Pokud si však recenzent nepřeje být jmenován, plně to respektujeme. U příspěvku pak bude uvedeno pouze to, že prošel recenzí, zatímco recenzent zůstal v anonymitě.

Řízení rizik je nedílnou součástí moderního podnikání. Jedním z nejrozšířenějších nástrojů jsou tzv. risk matice, které pomáhají vizualizovat a prioritizovat rizika.

Právě jejich rozšířenost ale vytváří nebezpečný dojem samozřejmosti: co používají všichni, bývá považováno za dostatečné. Jenže dějiny selhání ukazují něco jiného. Mnoho postupů se jeví jako přijatelné až do okamžiku, kdy jejich limity narazí na realitu a způsobí škodu. Teprve tehdy přestává být metodická debata akademickou disciplínou a začíná se zkoumat, kdo rozhodoval, na základě čeho rozhodoval, co měl vědět a zda jednal s péčí, kterou bylo možno rozumně očekávat.

Playbook musí poskytnout návod pro řešení závažného bezpečnostního incidentu, kdy je nutné pod tlakem dělat ty správné kroky, a kdy mozek často jede na autopilota. Proto musí být napsaný jednoduše, jasně a akčně.

Každý krok musí být jednoznačný a srozumitelný i pod kognitivním zatížením, neboť mozek ve stresu ztrácí schopnost komplexního uvažování. Takže žádné filozofování, ale naprosto jasné pokyny, kdo, co  a kdy má udělat.

Školení je uzavřené a určené pouze pro vaše zaměstnance. Probíhá u vás ve firmě nebo online a opírá se o vaše konkrétní podmínky a scénáře. Cílem je sjednotit přístup napříč bezpečností, IT a byznysem a naučit tým pracovat s kvantitativní analýzou kybernetických rizik v praxi.

Konzultace je určena pro 1–2 osoby u vás ve firmě nebo online. Od ujasnění si naprostých základů, přes rychlou oponenturu existující metodiky nebo nástroje, který používáte na analýzu rizik, až po několikahodinové pracovní sezení, kde společně projdeme vaše scénáře, nastavení frekvencí, dopadů a účinnosti opatření tak, aby šly obhájit.

Neexistuje problém, který bychom společně nevyřešili nebo otázka, na kterou bychom nenašli odpověď.

V tomto příspěvku se dozvíte, proč byste měli kybernetická rizika kvantifikovat. A když říkám kvantifikovat, tak tím myslím skutečně kvantifikovat, ne jen mechanicky násobit ordinální hodnoty mezi sebou.

Když totiž u konkrétního typu incidentu odhadnete pravděpodobnost výskytu a finanční dopad a celé riziko vyjádříte v korunách, začnete konečně mluvit jazykem, kterému management rozumí nejlépe.