Slovenská strela - od ochrany aktív k analýze a riadeniu rizík, od kvalitatívneho šarlatánstva k ich kvantitatívnemu hodnoteniu (7 min)
Kybernetické riziko má svoju cenu v eurách – a metodika CRQ ju vie spočítať. Ak sa riziko nedá spočítať, môžeme ho vôbec tolerovať? Nová slovenská legislatíva posúva dôraz od „ochrany kritických aktív“ k systematickej analýze a riadeniu rizík v celom prepojenom prostredí ICT/OT, vrátane dodávateľského reťazca. Aktuálna metodika k analýze a riadeniu rizík explicitne pripúšťa kvantitatívne vyjadrenie rizika v peniazoch a uvádza metódy CRQ/Open FAIR ako legitímnu variantu pre splnenie požiadaviek zákona.
Na toto európske prvenstvo zareagovala česko-slovenská komunita QICS článkom „Slovenská strela“. Prezentácia a následná diskusia v krátkosti načrtne, ako dostať prácu s kybernetickým rizikom na úroveň riadenia a rozhodovania, ktorej rozumie finančný aj generálny riaditeľ, a čo obnáša profesia špecialistu CRQ.
Kybernetické riziká si často meráme farebnými tabuľkami, no tie nás môžu viesť zlým smerom. Prednáška ukázala, prečo sa oplatí oprieť kompas o matematiku a prejsť ku kvantifikácii v eurách a čase. Ako metafora sa objavila aj „Slovenská strela“, ktorá pripomenula, že odvážne inovácie môžu prísť aj odtiaľ, kde ich nečakáme. Ak inštinktívne tušíte, že vaša kyberbezpečnosť má rezervy, začnite základnou hygienou. Najprv zavádzajte lacné, osvedčené opatrenia – napríklad CIS Critical Security Controls (IG1) – ak stoja menej než dôkladná analýza rizík. Popri tom si robte jednoduché, slovné úvahy o hrozbách a dopadoch vo vašom prostredí. Cieľom je však postupne prejsť k očakávanej ročnej strate vyjadrenej v eurách, teda k číslam, ktoré umožnia lepšie rozhodnutia.Od hygieny po čísla: kde začať
