V CRQ často modelujeme dopad pomocí lognormálního rozdělení. Lognormal je ale neomezený, má nekonečný pravý ocas, což někdy nechceme, protože chceme zabránit tomu, aby model generoval ekonomicky nemožné škody.

V zásadě máme dvě jednoduché možnosti, jak k tomuto problému prakticky přistoupit v rámci lognormálního modelu, a to truncaci (oříznutí) a capování (zastropování). V tomto článku si rozebereme oba tyto přístupy.

S hodnocením zranitelností pomocí standardu CVSS jste se na těchto stránkách mohli setkat již několikrát. Etičtí hackeři jej používají pro stanovení závažnosti zranitelnosti, kterou v hodnoceném systému nalezli, a firmy jej pak následně používají pro prioritizaci oprav.

Všichni jaksi předpokládají, že CVSS skóre je objektivní, konzistentní a že stejné zranitelnosti povedou u různých hodnotitelů ke stejnému nebo alespoň velmi podobnému výsledku. Jenže ono to tak jednoduché není.

Krizové plány často vypadají dobře, dokud je nikdo nemusí použít. Mají kapitoly, tabulky, kontakty, odpovědnosti i formální schválení. Jenže ve chvíli, kdy se incident začne měnit v krizi, rozhoduje něco úplně jiného: kdo má právo plán aktivovat, kdo má poslední slovo a podle čeho se určí priority.

Pokud krizový plán na tyto otázky neodpovídá, není to nástroj řízení. Je to jen další dokument, který uklidňuje organizaci přesně do okamžiku, kdy začne být opravdu potřeba.

Přechod od kvalitativních metod ke kvantitativní analýze rizik nebývá jednoduchý. Nejjednodušší cesta obvykle vede přes semikvantitativní přístup. Místo slov a barev začneme pracovat s čísly, ale pořád ještě ne s celým pravděpodobnostním rozložením.

V této fázi často přichází lákavé zjednodušení. Vezmeme intervaly, které už máme někde v metodice definované, použijeme jejich středy a máme krásné číslo. Asi už tušíte, že s tím bude spojený nějaký problém.

V okamžiku, kdy máme stanovit škodu, která by mohla vzniknout v důsledku určitého kybernetického útoku popsaného v rámci konkrétního rizikového scénáře, stojíme před otázkou, jak ji vlastně vyjádřit.

Pokud bychom škodu popsali jediným číslem, získali bychom jen zjednodušený obraz reality. Ve skutečnosti totiž může nastat celé spektrum různých následků a ani průměr, ani medián samy o sobě tuto variabilitu nevystihnou.

Správa informační bezpečnosti (Information Security Governance, zkr. ISG) a řízení informační bezpečnosti (Information Security Management, zkr. ISM) jsou dva propojené cykly, které bývají v praxi často zaměňovány.

První je ale governance cyklus realizovaný na úrovni vrcholového vedení, který je spojován s normou ISO/IEC 27014. Druhý je cyklus na úrovni výkonného řízení, typicky realizovaný jako ISMS podle ISO/IEC 27001.

Každá organizace, která bere kybernetická rizika aspoň trochu vážně, by měla mít systém školení přizpůsobený různým skupinám zaměstnanců.

Každá z těchto skupin totiž potřebuje jiný typ školení. Nejde přitom jen o bezpečnostní osvětu ve smyslu phishingu, hesel a podezřelých e-mailů, ale také o znalost interních procesů, odpovědností, kontrolních mechanismů, používaných frameworků a pravidel, která se vztahují ke konkrétní roli.

Smyslem kvantitativní analýzy není budit dojem exaktnosti tam, kde máme jen omezená data. Smyslem je podpořit  správné rozhodnutí. Firma potřebuje vědět, jak velkou ztrátu ještě unese, kolik kapitálu, likvidity nebo pojistné ochrany má mít připraveno a kdy už riskuje, že ji určitý incident finančně zcela ochromí.

Právě proto nestačí jen říct, že „riziko je vysoké“ anebo že „může nastat velká škoda“. Management potřebuje alespoň orientačně vědět, o jakých částkách se  vůbec bavíme.

Playbook musí poskytnout návod pro řešení závažného bezpečnostního incidentu, kdy je nutné pod tlakem dělat ty správné kroky, a kdy mozek často jede na autopilota. Proto musí být napsaný jednoduše, jasně a akčně.

Každý krok musí být jednoznačný a srozumitelný i pod kognitivním zatížením, neboť mozek ve stresu ztrácí schopnost komplexního uvažování. Takže žádné filozofování, ale naprosto jasné pokyny, kdo, co  a kdy má udělat.

Když se tahá Gumbel, Weibull, Fréchet a Jeffreysův prior do řízení kybernetických rizik, tak se risk matice ozývá.

Kyberbezpečnost není raketová věda. To říkáme pořád. Ale pár doktorandů si to evidentně neřeklo dostatečně nahlas.