Křivka tolerovaného rizika (Risk Tolerance Curve, RTC) ukazuje, co ještě firma a její management „ustojí“, tj. jaké celkové škody vstřebá (např. v rámci provozních nákladů), na jaké má naspořeno (např. v rámci treasury managementu) a na jaké je pojištěná (se spoluúčastí a limity plnění).

RTC musíme odvodit (elicitovat) z řady bodů (konkrétních prahů bolesti) v hlavách naší audience (Top Management a zástupci Businessu, typicky mimo IT a Cyber Risk), které pak propojíme (interpolujeme) nějakou vhodnou sadou křivek.

V našem závěrečném pojednání o risk maticích jsme uvedli řadu naprosto zásadních nedostatků risk matic, které je činí prakticky nepoužitelnými.

Nyní se podíváme na to, jak se s těmito nedostatky můžeme elegantně vypořádat prostřednictvím CRQ.

Monte Carlo simulace je metoda statistického modelování, která pomocí náhodného vzorkování konfiguračního prostoru (opakované náhodné volby hodnoty pravděpodobnosti a hodnoty dopadu) generuje řadu možných scénářů daného rizika.

V kvantitativní analýze kybernetických rizik (CRQ) se běžně používá zejména pro složitější modely s více proměnnými, kdy výslednou distribuci hodnot nelze jednoduše odhadnout nebo stanovit analyticky.

V této části se zaměříme na to, jak posbíraná data idealizovat (aproximovat) křivkou funkce hustoty pravděpodobnosti (Probability Density Function – PDF), tj. rozpoznat z rozložení dat typ distribuce.

Odhad správné distribuce je klíčovým krokem, protože nám umožní matematicky pracovat s neurčitostí a v případě těch notoricky známých (spojitých) distribučních funkcí i elegantně a správně odhadnout pravděpodobnosti (vzácných) extrémních událostí, které nám v posbíraných datech budou zcela jistě chybět.

V této nové sérii příspěvků se podíváme na to, jakým způsobem můžeme kvantifikovat kybernetická rizika (Cyber Risk Quantification, zkr. CRQ) a systematicky odhadnout finanční dopady kybernetických hrozeb.

Jsme přesvědčeni, že jedině tak lze učinit informované rozhodnutí, zvolit vhodnou metodu zvládání rizika, zavést účinné bezpečnostní opatření k jeho snížení, a ochránit tak investice a přispět k naplnění a dosažení mise a vize organizace.