Ooit konden security teams, na het implementeren van nieuwe security technologie, hun voeten op het bureau leggen, achterover leunen en zichzelf veilig wanen. Maar die tijden zijn voorbij. Tegenwoordig zijn bedrijven zich bewust van het feit dat ze niet voor honderd procent veilig zijn. De vraag is nu: hoeveel risico accepteert een bedrijf?
Veel CISO’s vinden het beoordelen van beveiligingsrisico’s te moeilijk, te dubbelzinnig en te onduidelijk. En gezien de huidige traditionele methodes van risicobeoordeling hebben ze gelijk.
Daarom lijkt het in een meeting waarin een CISO het management vraagt om budget voor nieuwe technologie of een security-oplossing alsof er twee mensen tegenover elkaar zitten die verschillende talen spreken.
De CFO en CEO denken in termen van financiën, zakelijke waarde en ROI. De CISO moet het management overtuigen van de investering zonder dat hij over dergelijk cijfers beschikt. De CISO maakt gebruik van het enige argument waarop de executives reageren: angst. ‘Als we dit niet doen, zijn de gevolgen niet te overzien.’
Geen enkel bedrijf heeft zin om onderwerp van dit soort nieuws te zijn.
Maar hoe weet een bedrijf uiteindelijk of de investeringen in security effectief de risico’s verminderen of elimineren tot het niveau dat executives hopen? Dat dure trainingsprogramma voor medewerkers, het monitoring systeem voor events, alle security software in de hele organisatie vervangen. Hoe weet een organisatie of het investeert op de juiste plekken of dat ze goed verzekerd zijn in geval van een data breach, ransomware-incident of DDoS-aanval?
En hoe laat de CISO het topmanagement zien hoe belangrijk deze investeringen voor het bedrijf zijn, zonder zijn toevlucht te nemen tot angst, onzekerheid en twijfel om het bericht over te brengen?
Het antwoord ligt in het beoordelen van de impact van een cyber breach op jouw bedrijf. Juist die taak gaan CISO’s vaak uit de weg. Het gebruik van dubbele ratingsystemen of kleuren om risico’s aan te duiden levert niet veel op, dat klopt.
“De meeste managers vertrouwen op kwalitatieve begeleiding van ‘hittekaarten’ die hun kwetsbaarheid als ‘laag’ of ‘hoog’ beschrijven op basis van vage schattingen die veel kleine verliezen en zeldzame grote verliezen samenvoegen,” schrijven Chacko, Sekeris en Herbolzheimer in de Harvard Business Beoordeling. “Maar met aanpak begrijpen managers niet of ze een probleem hebben van 10 miljoen dollar of van honderd miljoen dollar. Laat staan dat ze nu snappen of ze beter in malware-bescherming of e-mailbescherming kunnen investeren. Als gevolg hiervan kunnen bedrijven niet goed beoordelen welke cybersecurity-mogelijkheden ze voorrang moeten geven en vaak verzekeren ze zich onvoldoende tegen cyberrisico’s.”
Het is mogelijk om duidelijke cijfers aan de beoordeling van cyber risico’s te hangen. En zo te spreken in een taal die het management ook begrijpt.
“De implementatie van deze technologie kost honderdduizend dollar, maar het zal ons risico met twee miljoen dollar verminderen.” “We kunnen onze cyberverzekeringsdekking met 50 miljoen verminderen, en wel hierom.” Dit zijn uitspraken die CISO’s en CFO’s kunnen doen en goed kunnen beargumenteren met behulp van nieuwe manieren van meten en kwantificeren van cyberrisico’s. F-Secure’s methode heet Cyber Breach Impact Quantification (CBIQ), en het voorspelt hoeveel een cyberincident een organisatie kost. Het laat ook zien hoe bedrijven hun risico kunnen verminderen door een specifieke beveiligingscontrole uit te voeren.
Marko Buuri, Principal Risk Management Consultant bij F-Secure, legt het basisidee achter CBIQ uit in de video hieronder. Marko geeft ook een voorbeeld van het kwantificeren van de impact van een cyberbreach met de CBIQ-methode – check het hier.
Het kwantificeren van schendingen door gebruik te maken van reële financiën de vermindert en elimineert cognitieve vooroordelen die zo vaak in de weg staan bij het nemen van beslissingen op basis van dubbelzinnige, gecodeerde warmtekaarten. Het gebruik van echte getallen die verdedigbaar en transparant zijn, effent de weg voor betere communicatie tussen alle partijen. Geen discussies meer over het uitvoeren van een bepaalde technologie – laat gewoon de cijfers zien, die zeggen voldoende.
Of, in Buuri’s woorden, “Waarom zou je genoegen nemen met schattingen terwijl je een verdedigbare visie op het risico kunt geven?”
Bezoek onze website om meer te weten te komen over onze aanpak van risicomanagement. Of download de infographic over de voordelen van de CBIQ-methode in vergelijking met traditionele risicokwantificatie-instrumenten.
Categorieën