Řízení informačních rizik v praxi:
1denní kurz – intro
V tomto kurzu se seznámíte s mezinárodními standardy, best practice a nejmodernějšími přístupy k řízení informačních rizik, společně projdeme všemi fázemi řízení informačních rizik, dozvíte se jak rizika identifikovat, kvantifikovat a s přehledem zvládat.
Základní informace o kurzu
Garant kurzu: Ing. Miroslav Čermák, Ph.D.
Místo výuky: Praha, Brno
Termín výuky: bude upřesněno
Forma výuky: prezenčně
Délka kurzu: 8 hodin (bloky po 45 min, přestávky + oběd)
Způsob zakončení: Certifikát o absolvování / zkouška ve formě testu
Náročnost kurzu: snadná
Cena kurzu: 12 500 Kč
Obsah jednotlivých modulů
Po kliknutí na název modulu se vám zobrazí detailní obsah modulu.
Modul 1 – Úvod do řízení rizik
Organizační pokyny a harmonogram kurzu, představení lektora. Vstupní test za účelem prověření úrovně znalostí (výsledky budou anonymizovány a budou sloužit pro samotného účastníka kurzu, aby si udělal představu o tom, jak je na tom). Ukážeme si, proč má řízení rizik smysl, jak se v něm orientovat. Projdeme si základní standardy, rámce, fáze a klíčové pojmy, způsoby posuzování rizik (interní, externí, kombinované), metody posuzování rizik (kvalitativní, semikvalitativní, kvantitativní)
Naučíte se:
- orientovat se v normách, standardech a frameworcích,
- rozlišovat pojmy riziko, hrozba, zranitelnost, dopad, opatření,
- chápat role, odpovědnosti a fáze procesu řízení rizik.
Výstup: Základní orientace v nejznámějších standardech a znalost terminologie, která je stěžejní.
Klíčová slova: ISO 31000, ISO 27005, M_o_R, FAIR, NIST 800, riziko, nejistota, possibility, likelihood, frequency, impact, vulnerability, controls, risk apettite, risk tolerance, risk exposure, risk profile, inherent risk, current risk, residual risk,…
Modul 2 – Dekompozice informačního systému
Každá organizace je jiná. Dozvíte se, jak identifikovat klíčové služby, jak je rozložit na jednotlivá aktiva, zachytit závislosti mezi nimi a jak následně identifikovat a správně popsat rizika v různých fázích životního cyklu.
Dozvíte se, jak:
- provést dekompozici systému na primární a sekundární aktiva,
- chápat jejich vzájemné závislosti,
- vytvářet risk scénáře a naplňovat registr rizik.
Výstup: mapa aktiv vaší organizace a registr rizik s konkrétními statementy a scénáři. Spočtená účinnost vybrané sady opatření.
Klíčová slova: primary asset, secondary asset, dependency, controls, threat taxonomy, threat actor, risk statement, risk scenario, risk register
Modul 3 – Úskalí risk matic
Risk matice jsou rozšířené, oblíbené, ale značně zavádějící. Vysvětlíme si, proč naprosto selhávají, a proč je nelze opravit. Na konkrétním příkladu si ukážeme, jak mohou vést ke zcela chybným manažerským rozhodnutím.
Dozvíte se, jak:
- odhalit limity risk matic,
- rozpoznat jejich logické i matematické slabiny,
- vysvětlit, proč jsou nespolehlivé pro řízení rizik.
Výstup: spočítaná chybovost, schopnost obhájit, proč matice nefungují, a argumentovat proti jejich používání.
Klíčová slova: risk matrix, errorneous ranking, range compression, izorisk curves, cognitive bias, priroritizace
Modul 4 – Rapid risk assessment
Seznámíte se s jednoduchými metodami kvantifikace, které vám umožní rychle vyjádřit riziko pomocí čísel. Dozvíte se jak pracovat s rozdělením škod a pravděpodobností vzniku škodné události a zobrazit výsledek v přehledné vizualizaci.
Dozvíte se, jak:
- odhadovat dopady a pravděpodobnosti,
- exaktně stanovit účinnosti bezpečnostních opatření,
- využívat základní modely pro rychlé hodnocení rizik,
- vizualizovat výsledky do grafu (heatmapa).
Výstup: rychlý, číselně podložený přehled rizik vaší organizace.
Klíčová slova: loss magnitude, expected value, threat event frequency, loss event frequency, Bernoulli, Poisson, vulnerability, susceptibility
Modul 5 – Cyber Risk Quantification
Závěrečný modul vás posune k plnohodnotné kvantitativní analýze. Dozvíte se, jak vyjádřit riziko jako interval, sestavit RTC a LEC křivky, využít simulace a vyčíslit návratnost investic do bezpečnostních opatření (ROSI).
Dozvíte se, jak:
- pracovat s intervalovým vyjádřením rizik,
- vytvářet RTC a LEC křivky,
- využívat simulace pro práci s nejistotou,
- spočítat návratnost bezpečnostních opatření.
Výstup: vlastní risk report obsahující vypočítané riziko, křivky RTC/LEC a vyčíslení ROSI.
Klíčová slova: RTC, LEC, ROSI, monte carlo, Bayes, prior
Pro koho je kurz určen
Kurz je určen pro všechny, kteří chtějí pochopit proces řízení rizik, seznámit se moderním způsobem hodnocení rizik a začít je skutečně řídit na základě čísel:
- CISO a manažery kybernetické bezpečnosti,
- CRO, risk manažery a interní auditory,
- vlastníky firem a board-level decision makery,
- všechny, kdo chtějí chápat a obhajovat rozhodnutí o investicích do kyberbezpečnosti.
Co absolvováním kurzu získáte
Získáte přehled o tom, co je to řízení informačních rizik, jak k němu přistoupit a jaké kompetence dále rozvíjet:
- Seznámíte se s normami, metodikami a pojmy, které jsou pro řízení rizik klíčové.
- Budete umět vysvětlit rozdíl mezi kvalitativním, semikvantitativním a kvantitativním přístupem.
- Dozvíte se, proč matice rizik selhávají a jsou naprosto nevhodné pro valuaci a prioritizaci rizika.
- Dozvíte se, jak stanovit, pravděpodobnost, dopad, účinnost opatření a vyjádřit výši rizika v korunách.
Forma a průběh kurzu
Kurz má podobu přednášky a vzhledem k rozsahu probírané problematiky a časové dotaci se nepředpokládá, že by zde byl prostor na větší diskusi. Tu je možné vést po skončení kurzu a rovněž využít možnosti sjednat si individuální konzultaci.
- Kurz se skládá z 5 modulů, které na sebe logicky navazují.
- Výuka probíhá formou přednášky.
- Kurz trvá cca 8 hodin (od 9:00 do 17:00 hodin)*.
- Závěrem můžete absolvovat test a získat certifikát.
*Výuka probíhá v blocích po 45 minutách nebo 90 minutách, mezi nimi jsou krátké přestávky a uprostřed dne je delší pauza na oběd.
Náročnost kurzu
Náročnost kurzu je sice označena jako nízká, nicméně účastník by měl počítat s tím, že vzhledem k tomu, že kurz vznikl jako 1denní alternativa k původně 5dennímu kurzu, tak nebude možné jednotlivá témata detailně procvičovat na příkladech a vést o nich diskusi.
Způsob zakončení kurzu
Každý účastník kurzu získá potvrzení o jeho absolvování. Kdo bude chtít, tak si může zkusit po skončení kurzu udělat zdarma test a získat certifikát.
- Počet otázek: 100
- Časový limit: 100 minut
- Typ otázek: single-choice (jedna správná odpověď)
- Forma: on-line
- Minimální úspěšnost pro získání certifikátu: 80 %
- Podmínky: Vlastní poznámky povoleny, ale používání AI nástrojů zakázáno.
FAQ
- Je kurz vhodný i pro ne-techniky? Ano, cílí na management, CISO i risk manažery; technické detaily jsou vysvětleny.
- Jsou potřebné nějaké předchozí znalosti? Základní orientace v řízení rizik výhodou, ale není podmínkou.
- Lze uspořádat in-house? Ano, kurz lze realizovat i interně u zadavatele nebo u partnerské instituce.
Kdy a kde je možné kurz absolvovat a jak se na něj přihlásit
Kurz je možné absolvovat uvedeném termínu v Praze nebo Brně. Pokud by vám tento termín nevyhovoval, kontaktujte mě.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.