Pomocí Credential Cyber Risk Quantification (C-CRQ) cíleně propojujeme zájmy IT a businessu v oblasti kybernetické bezpečnosti prostřednictvím reálných pro obě strany hmatatelných rizik.

IT útvar nachází v našich analýzách mimo jiné konkrétní vektory či stromy událostí vedoucí například k průnikům útočníka, které jsou založené na konkrétní architektuře, zranitelnostech a technikách aktuálně používaných útočníky. Výstupy našich analýz umožňují IT zacílit bezpečnostní opatření do nejvhodnějších a velmi často také napříč riziky sdílených zranitelných míst v infrastruktuře či procesech společnosti. Identifikujeme a kvatifikujeme reálně využitelné zranitelnosti potenciálními útočníky. Nerealizujeme „formální“ analýzy rizik jen za účelem jejich realizace pro soulad. Naše výstupy IT používá ke skutečnému a kvalifikovanému řízení kybernetické bezpečnosti. Soulad s normami zákonnými či technickými vnímáme v tomto ohledu pouze jako vedlejší produkt, který je naplněn vlastním řádným provedením RA.

Business i vedení společností na našich analýzách, které realizujeme již od roku 2017, oceňuje jasné kvalitativně vyčíslené podklady pro řádné rozhodnutí o investicích do bezpečnostních opatření včetně kalkulace jejich návratnosti. Samozřejmostí jsou pro nás výstupy pro rozhodování vedení společnosti jako: roční očekávatelná ztráta (ALE), distribuční křivky finančních ztrát, odhadované náklady na investice a provoz dodatečných bezpečnostních opatření a stanovení předpokládané návratnosti. Pomocí našich služeb a C-CRQ jednoznačně a permanentně ukončujeme éru „placebo“ analýz u našich zákazníků. Návrat zpět od kvantitativních RA tj. vyčíslitelných, vzájemně poměřitelných rizik a stanovené návratností (západní medicína v kontextu RA) k rozhodování o značných investicích na základě kvalitativních „placebo“ RA (šamanismus) tj. posunu rizik ze střední/žluté do střední/žluté již nenastává.

Důsledně sledujeme trendy v oblasti manažerského rozhodování a CRQ (cyber risk quantification), dále rozpracováváme zásadní publikace v oboru pro české prostředí a české zákazníky. Jsme součástí celosvětové komunity kvantitativních riskařů, která neúnavně bojuje proti diletantství, šarlatánství a spekulacím prodávaným pod rouškou „standardní“ analýzy a řízení rizik. Používáme matematiku, statistiku a zdravý rozum. Najdete u nás Monte Carlo simulace, Markovovy řetězce, diskrétní rozdělení pravděpodobnosti, distribuce pravděpodobnosti i dopadu, podmíněnou pravděpodobnost, VaR, LEC a FAIR.

Věříme, že tím pravým pohledem na bezpečnost kyber-prostoru je identifikace, analýza a zmírnění jasně definovaných a kvantitativně vyhodnocených rizik. Co nemohu popsat a změřit, to nemohu efektivně řídit.

„Rizika se mají počítat. Nikoliv kreslit a barvit!“