サイバーリスクは、あらゆる業界のすべての経営者にとって重大な関心事です。世界経済フォーラムでは、サイバー攻撃を「最も起こりうるリスク」の第3位に、「最も影響力のあるリスク」の第6位に位置付けています。(Global Risks Report 2018 – 世界のリスク報告 2018年)エフセキュアのプリンシパル リスクマネジメントコンサルタントであるMarko Buuri(マルコ・ブーリ)は、彼の最近の記事の中(英語)で、サイバーセキュリティリスクマネジメントに関して、すべてのエグゼクティブが検討すべき主要な分野をまとめています。
考え抜かれたリスクストーリーは、優れたセキュリティリスクカルチャーである
「エグゼクティブとして、サイバーセキュリティリスクがどのようにして顕在化するのか、攻撃者は誰か、弱点は何か、そして侵害が成功された際のビジネスへの影響について詳細な説明を作成します。それができれば、リスク管理プロセスがさらに効果的になることを知っておくべきです。」とBuuriは述べています。
セキュリティリスクに関する有益な定義は、ストーリーのように読むことができます。このストーリーは、機密情報の侵害や生産中断などのビジネスインシデントで結末を迎えます。その後、各インシデントは特定の形の損失へと結びついていきます。
サイバーリスクを定量化することができますか?
サイバーインシデントは業務を中断させ、回復するために時間と労力を要するため会社の損失につながります。サイバーリスクの財務的影響を定量化することは、極めて重要な項目です。
「結局のところ、保険もセキュリティの改善もコストがかかり、両者の費用見積りを色分けされたリスクレジストリと比較することは、リンゴとオレンジを比較するようなものです。ストーリーから鑑みてリスクを適切に識別することで、初めて、それらを評価する際に分析的な見方をすることが可能になります。」とMarko Buuriは彼の記事で説明しています。
経営者として自社に期待すべきことは、最も重要なサイバーセキュリティリスクのシナリオを評価するために、最適な財務評価方法を適用することです。
エフセキュアの、Cyber Breach Impact Quantification(サイバー侵害の影響定量化)サービス(英語)により、企業はさまざまなタイプの運用損失を正確に見積ることができますので、もはや当て推量や概算値に依存する必要はありません。
このコラムは、Marko Buuriの以下の記事に基づいています。
カテゴリ