Kniha „Jak proměnit kyberbezpečnost v konkurenční výhodu, aneb Za hranicemi best practice a proč CEO selhávají“ nabízí zcela nový pohled na kybernetickou bezpečnost jako na strategický nástroj pro růst a udržení konkurenčního postavení.

Obrana 21. století se nevede jen tanky, letouny a raketovými systémy, ale i v kyberprostoru, prostřednictvím dronů, umělé inteligence a informační války.

Jenže právě v těchto oblastech má ČR dlouhodobý deficit a závislost na zahraničních technologiích ji činí zranitelnou.

Když přijde řeč na praktický výpočet rizika bez chytrých pomůcek, všichni logicky sahají po známém vzorci: R = likelihood × impact. Jenže v pojmu „likelihood“ může být zakopaný pes.

Jedni oním pojmem myslí klasickou pravděpodobnost, druzí zase frekvenci výskytu události, typicky za nějaké časové období (ARO — Annualized Rate of Occurrence, jinak bychom asi mohli říci i míra výskytu v jednom roce). Dokonce i norma ISO připouští oboje.

Kniha kvantitativní analýza kybernetických rizik přináší detailní návod jak kvantifikovat kybernetická rizika. Dozvíte se, jak stanovit hodnotu dopadu, pravděpodobnost vzniku dopadu a spočítat výsledné riziko v korunách.

Budete tak schopni svému managementu, předložit reálné rizikové scénáře, které přinesou odpověď na tu nejzákladnější otázku, kterou chce znát každý vlastník firmy. Jaká je pravděpodobnost, že se staneme obětí nějakého kybernetického útoku a jak vysoká bude škoda.

O problematickém postavení CISO v hierarchii organizace jsem naposledy psal zde.

Otázka je, zda se od té doby něco změnilo. Nic zásadního, ale k určitým změnám přesto došlo, dochází a bude i nadále na této pozici docházet.

Bezpečnostní firmy a média se v posledních měsících předhánějí, kdo silněji varuje před „novými“ technikami zvanými ClickFix a FileFix.

Ale když se na ně podíváme blíže, zjistíme, že tyto útoky jsou jen další variací dávno známých sociálně-inženýrských principů.

Matice rizik patří k nejrozšířenějším nástrojům v oblasti řízení rizik. Nabízejí jednoduchou formu vizualizace rizik podle dvou dimenzí – dopadu a pravděpodobnosti.

Právě tato srozumitelnost stojí za jejich popularitou u managementu i auditorů. Jak je ale ukázáno v článku o hanojském masakru krys, popularita je někdy důsledkem iluze efektivity, nikoli reálné užitečnosti.

Většina mezinárodních certifikací v oblasti kybernetické bezpečnosti pochází z USA, což odráží dlouhodobou dominanci amerických organizací v této oblasti.

Nicméně, tyto certifikace jsou uznávané globálně a často slouží jako standardy v oboru. Uveďme si ty nejznámější:

Cílem této knihy je seznámit čtenáře s problematikou řízení informačních rizik. Posloupnost kapitol v této knize v zásadě kopíruje proces řízení informačních rizik.

Po přečtení této knihy byste měli být schopni proces řízení informačních rizik ve vaší organizaci úspěšně zavést, efektivně posoudit samotná rizika a následně navrhnout vhodný způsob jejich zvládání.

Organizace působící ve vysoce regulovaném prostředí patří mezi nejlépe zabezpečené instituce vůbec.

Mají zavedená veškerá doporučená opatření, často v režimu „best in breed“. Pravidelně procházejí audity, podléhají detailnímu dohledu regulátorů a disponují zdroji, o kterých si většina firem může nechat jen zdát. V takovém prostředí se může zdát, že kvantitativní analýza kybernetických rizik je zbytečná.