Kniha „Jak proměnit kyberbezpečnost v konkurenční výhodu, aneb Za hranicemi best practice a proč CEO selhávají“ nabízí zcela nový pohled na kybernetickou bezpečnost jako na strategický nástroj pro růst a udržení konkurenčního postavení.

Je pozoruhodné, jak rozdílně lidé přistupují k riziku v práci a v osobním životě.

Tento zásadní kontrast patrný optikou behaviorální ekonomie je možná klíčem k pochopení, proč jsou risk matice ve firmách tak oblíbené, a proč se jich někteří manažeři nechtějí vzdát ani pod tíhou matematických důkazů o jejich totální nespolehlivosti.

Křivka tolerovaného rizika (Risk Tolerance Curve, RTC) ukazuje, co ještě firma a její management „ustojí“, tj. jaké celkové škody vstřebá (např. v rámci provozních nákladů), na jaké má naspořeno (např. v rámci treasury managementu) a na jaké je pojištěná (se spoluúčastí a limity plnění).

RTC musíme odvodit (elicitovat) z řady bodů (konkrétních prahů bolesti) v hlavách naší audience (Top Management a zástupci Businessu, typicky mimo IT a Cyber Risk), které pak propojíme (interpolujeme) nějakou vhodnou sadou křivek.

Jestliže už víme, v jaké dimenzi nejistoty se pohybujeme, můžeme určit, co je třeba udělat pro redukci těchto nejistot.

V případě dokonalé nejistoty však nejistotu redukovat nemůžeme. Namísto toho musíme vytvářet systémy, které jsou odolné vůči nepříznivým událostem, a které dokáží nejen přežít, ale i prosperovat v podmínkách chaosu.

Nedávné studie jasně naznačují, že používání risk matic v organizacích vykazuje znaky návykového chování.

Podobně jako u psychoaktivních látek dochází již po prvním použití k aktivaci psychologických mechanismů pozitivní zpětné vazby – barevné škály, vizuální jednoduchost a okamžitá interpretace vyvolávají krátkodobý pocit kontroly a porozumění.

V posledních letech se v oblasti kybernetické bezpečnosti stále častěji setkáváme s lidmi, kteří si na základě absolvovaného kurzu či získaného certifikátu nárokují status „experta“.

Zdánlivě tomu nahrává rostoucí nabídka vzdělávacích programů a certifikací, stejně jako značný nedostatek skutečných odborníků na trhu práce. Přestože certifikáty a formální vzdělání mohou posloužit jako užitečný základ, často samy o sobě nezaručují skutečnou odbornost. Následující body vysvětlují, proč je třeba k problematice přistupovat obezřetně.

Donedávna jsme se věnovali rizikům, která souvisí především s používáním AI, ale nyní nastal nejvyšší čas, abychom se podívali i na rizika spojená s nepoužíváním AI.

Právě v době rostoucí geopolitické nejistoty a regulatorních tlaků bychom toto riziko měli vnímat velice vážně. Nejde jen o nějaké FOMO, ale o reálnou hrozbu technologického zaostávání, o které se ve svém nedávném článku zmínil i Dr. Libor Dostálek.

V našem závěrečném pojednání o risk maticích jsme uvedli řadu naprosto zásadních nedostatků risk matic, které je činí prakticky nepoužitelnými.

Nyní se podíváme na to, jak se s těmito nedostatky můžeme elegantně vypořádat prostřednictvím CRQ.

Evropská unie se v nově přijatém nařízení 2025/38 (tzv. „akt o kybernetické solidaritě“) snaží posílit obranu proti kybernetickým hrozbám.

Předpokládá se, že tato opatření zvýší ochranu digitálních infrastruktur a budou reakcí na stále častější a sofistikovanější kybernetické útoky. Myšlenka je to jistě chvályhodná, ovšem existuje zde jistá obava, že to nebude fungovat a dojde na známé rčení: „Mysleli jsme to dobře, ale dopadlo to jako vždycky.“

Události, které se opakují několikrát za rok a po dobu několika let, mohou vyvolávat dojem jistoty.

Z hlediska rizikového managementu je však stále považujeme za riziko, a to i v případě, že je pravděpodobnost jejich výskytu velmi vysoká, tedy téměř jistá. V kontextu teorie pravděpodobnosti je zásadní rozlišovat mezi téměř jistotou (pravděpodobnost blížící se jedné) a absolutní jistotou (pravděpodobnost rovna jedné).

Monte Carlo simulace je metoda statistického modelování, která pomocí náhodného vzorkování konfiguračního prostoru (opakované náhodné volby hodnoty pravděpodobnosti a hodnoty dopadu) generuje řadu možných scénářů daného rizika.

V kvantitativní analýze kybernetických rizik (CRQ) se běžně používá zejména pro složitější modely s více proměnnými, kdy výslednou distribuci hodnot nelze jednoduše odhadnout nebo stanovit analyticky.