Financujte kybernetickou bezpečnost efektivně - na základě spočítaných rizik

Popis tréninku:

V úvodní části tréninku se podíváme na praktické příklady, které nám ukážou, proč tradiční kvalitativní analýza rizik má své závažné nedostatky. Prozkoumáme, proč používání běžných matic rizik a standardů, které propagují zjednodušený výpočet "Riziko = Hrozba * Zranitelnost * Dopad," selhává v nejdůležitějším kroku řízení rizik.

V následující části toto "rozbité kolečko orloje" koncepčně a metodicky spravíme, rozboříme kvalitativní mantru R=T*V*I a správně "Bayesovsky" zohledníme vliv hrozeb a zranitelností v daném rizikovém scénáři. Rovněž si prohlédneme omezení diskrétní kvantitativní analýzy, kterou najdeme v ISO standardech, a to v podání zkušeného statistika.

Výklad bude doplněn demo ukázkami z nástrojů R Studio a Agena Risk.

Po teoretickém úvodu následuje závěrečná a nejrozsáhlejší část, kde se dostaneme k praxi. Na konkrétních příkladech ukážeme, že kvantitativní analýza není v porovnání se současnými metodami nijak složitá ani pracná. Zkusíme se všichni zkalibrovat na bodové i intervalové odhady na daném intervalu důvěryhodnosti. Ukážeme, jak sbírat data z již předem kalibrovaných měřidel (našich nejlepších důvěryhodných expertů), kvalifikovaně pomocí nich odhadneme efektivitu opatření (mitigantů) a názorně spočítáme jak inherentní, tak zbytková rizika.

Dále si předvedeme tvorbu vzorového Risk-Based Business Case pro zvládání konkrétních bezpečnostních rizik.

Uvidíte například výpočty pro výběr z více různých služeb typu SOC různě účinných nástrojů typu EDR. Pro tento praktický výcvik budeme využívat nástrojů R Studio, Analytica a MS Excel. 

V závěru si dle časových možností prohlédneme ukázku správy celého životního cyklu rizika v GRC nástroji SimpleRisk nebo si přímo zkusíme rizika importovat a začit s nimi manažersky pracovat. 

Na závěr tréninku si odnesete spoustu typů a tašku nářadí, protože CRQ není raketová věda a začít s kvantem může každý!

Setkání se uskuteční 19. 3. 2024 v Praze v prostorách společnosti Microsoft, které poskytnou ideální prostředí pro trénink a diskuse.

Tréninkem vás provede náš skvělý lektor:

Mgr. Michal Hanus, Ph.D. (Cyber Defense Consultant ze společnosti Cyber Rangers s.r.o.), který má více než 20 let praxe v oblasti kybernetické bezpečnosti. Michal je Blue Teamer, risk manažer, architekt a manažer IT služeb. Jeho rozsáhlé zkušenosti zahrnují technická školení, tvorbu IT a Info Sec strategie, řízení strategických projektů a bezpečnost kritické infrastruktury.

Co konkrétního si tedy z tréninku odnesu?

• Rozpoznám, co je dobré a co je špatné vyhodnocení kybernetických rizik a jaké to má důsledky pro celé IT. Budu schopný manažersky oponovat pofiderní výsledky analýzy a valuace rizik.
• Budu vědět, co nedělat a proč to nedělat a na co si dát pozor.
• Uvidím etalon, jak se mají správně vyhodnotit rizika, a že pak celý velký orloj s názvem řízení rizik dává manažerům typu CIO a CFO konečně smysl.
• Dostanu jasné výsledky a bude zřejmé, co mám jako CIO a CISO manažersky řešit a co stojí za pozornost a co naopak mohu pustit z hlavy.
• Dostanu jako CFO kvalitní podklady pro rozhodnutí, jestli investovat do kybernetických opatření nebo třeba raději koupit pojistku.
• Budu sám umět správně vyhodnotit kybernetická rizika a dostanu základní jednoduché nástroje, návody, typy a vyřešené vzorové situace.
• Budu si umět dobře vybrat „parťáka“ pro správné vyhodnocení rizik, abych na to nebyl sám.

Pro koho je trénink vhodný:

• Manažery a vedoucí pracovníky (např. v IT, Financích, Interním Auditu, Complinance, Corporate Risk), kteří potřebují rozpoznat kvalitní a nekvalitní analýzu rizik.
• Manažery kybernetické bezpečnosti (CISO) a Pověřence (DPO), kteří chtějí a potřebují mít správně a kvalitně provedenou analýzu rizik.
• Finanční ředitele (CFO) a kontrolery, kteří chtějí účelně řídit investice do kybernetické bezpečnosti a uvažují o kyber-pojištění.
• Specialisty z oddělení kybernetické bezpečnosti, ochrany osobních údajů nebo Complinace, kteří mají za úkol zpracovat analýzu rizik a nevědí si rady.

Základní vstupní znalosti

• Pokročilá uživatelská znalost MS Excel
• Základní znalost principů kybernetické bezpečnosti a terminologie používané v KB
• Základní povědomí o rizicích, o jejich životním cyklu ve firemním prostředí a o principech jejich řízení
• Základní znalost principů, koncepcí a běžných stavebních bloků v soudobém firemním ICT prostředí
• Středoškolská úroveň matematiky
• Základní znalosti (základní kurz) ze statistiky a pravděpodobnosti

Poslechněte si nejnovější díl podcastu Cyb3r Club, kde jsme se zaměřili s Michalem Hanusem právě na téma: CRQ

Další informace:

Datum a čas:  19. 3. 2024, 9:00 - 16:00

Místo:  Microsoft, Vyskočilova 1561/4, 140 00 Praha

Poplatek za trénink:  9450,- Kč bez DPH / 384 Eur bez DPH (zaváděcí cena), pro účastníky konference CYB3R DAYS 2023 sleva 10%

Počet míst:  omezen na 30 účastníků

Registrace: https://forms.microsoft.com/e/L3iCJN0LjX                  

Registrace probíhá: 18. 1. -  8. 3. 2024 

Kontakt pro vaše dotazy:  info@cyber-rangers.com

Získejte výhodu před ostatními: Zaregistrujte se co nejdříve a získejte unikátní přístup k informacím, které vám umožní být v předstihu před ostatními.

„Správné řízení rizik je ta nejurgentnější bezpečnostní záplata!“

(D. Hubbard, R. Seiersen - How to measure anything in cybersecurity risk)

Těšíme se na setkání s vámi!