Cyber ​​GRC : quantifier le risque en termes monétaires

Risque. Le considérez-vous comme quelque chose de négatif – ou comme une opportunité ?

Et si vous pouviez quantifier les risques en dollars – et les gérer avec précision ? Cela pourrait vous faire penser à eux de manière plus opportuniste – comme quelque chose sur lequel vous avez plus de contrôle et que vous pouvez exploiter de manière stratégique. C'est la promesse de la quantification des risques – et aujourd'hui, c'est une réalité. Bien que ces graphiques aient donné un aperçu du niveau de risque, ce n'est que la partie émergée de l'iceberg. cartes thermiques codées, qui représentaient ce qu'ils avaient de mieux pour déterminer les niveaux de menace, où investir ensuite et où les conseils pourraient lever le pied de l'accélérateur. , les dirigeants et l'organisation dans son ensemble reconnaissent leurs responsabilités fiduciaires envers les clients et prennent ces obligations au sérieux. Pourtant, lorsqu'il s'agit d'identifier les cyber-risques et d'allouer efficacement des ressources pour les atténuer, l'industrie continue de lutter. »

Les derniers développements de l'industrie en matière de quantification des cyber-risques fournissent désormais une mesure plus précise à une organisation en attribuant des valeurs numériques en dollars. Fournir une mesure quantifiable de l'impact des cyberpirates ou des menaces externes aidera les organisations à éviter de payer des millions de dollars, voire plus, pour corriger les pertes et les dommages.

Voici trois considérations pour mettre en œuvre une approche plus stratégique de la quantification des risques.[19659002]Passer à la monnaie du cyber-risque grâce à une technologie de pointe

L'environnement commercial actuel consiste généralement en des variations dans les taxonomies de notation des risques au sein d'une même entreprise. L'harmonisation des techniques et des méthodes de gestion des risques en s'efforçant d'atteindre un score de risque commun entre les équipes de cyber, de risque opérationnel et de résilience est essentielle au succès. Les entreprises ont besoin d'un score de risque basé sur des facteurs cohérents et ancré dans le contexte commercial. Un score de risque combiné aide les cyber-équipes à peser avec précision le rapport coût-bénéfice d'une seule stratégie d'atténuation des risques ou d'une combinaison de celles-ci. Cela peut également aider à augmenter l'agilité et la rapidité des efforts de remédiation.

Le calcul précis du cyber-risque en termes numériques s'appuie sur des techniques statistiques avancées telles que les algorithmes de Monte Carlo qui sont une large classe d'algorithmes de calcul qui s'appuient sur échantillonnage aléatoire répété pour obtenir des résultats numériques. Ils permettent non seulement d'incorporer diverses incertitudes associées aux résultats des cyberpertes, mais facilitent également l'agrégation de différents profils de risque non liés. Le résultat est une compréhension ciblée des cyber-risques les plus critiques et nécessitant le plus d'attention. Cela facilite à son tour l'utilisation optimale des efforts d'atténuation pour réduire les expositions aux risques. L'utilisation d'une technologie de pointe vous permettra de quitter les cartes de chaleur dans le passé. la réunion de toutes les données conduit à un nombre singulier qui donne une véritable idée du risque en termes monétaires simplifiés. Mais en fin de compte, nous trouvons encore plus important de mettre en œuvre un plan de quantification des risques solidifié en nous préparant au côté négatif du risque. Grâce à cette approche proactive, non seulement les amendes coûteuses et les pertes monétaires sont évitées, mais les organisations peuvent également éviter la plupart des cyber-problèmes en temps réel.

Définir un chiffre monétaire clair s'avère également pertinent dans la relation de travail entre les RSSI et les conseils d'administration. Il n'est pas trop rare que les deux parties aient une mauvaise communication sur les questions liées au budget, le conseil d'administration ayant peut-être du mal à voir en temps réel où ce budget est alloué. La quantification des risques donne une idée plus simple de l'utilisation de ce budget, ce qui est utile à la fois au RSSI et au conseil d'administration.

Grâce à cette solution de données intégrée, la quantification des risques offre les avantages suivants :

• Conseils d'administration et dirigeants mieux comprendre l'exposition aux cyber-risques, comprendre ce qui est en jeu, exprimé en termes de valeur en dollars.
• Les RSSI ont une idée précise de l'impact des cyber-risques tels que les violations de données, le vol d'identité et les temps d'arrêt de l'infrastructure.
• Les équipes de direction peuvent établir des priorités. de meilleurs cyberinvestissements, en alignant les cyberprogrammes sur les objectifs commerciaux et en planifiant une couverture d'assurance optimale.
• Les RSSI peuvent développer une justification défendable des cyberinvestissements, basée sur la réponse des modèles de quantification des risques aux nouveaux contrôles supplémentaires.

Pourquoi la quantification des risques est-elle importante maintenant ?

Standard and Poor's Corp. a publié l'année dernière un rapport indiquant que "les primes de cyberassurance, qui totalisent actuellement environ 5 milliards de dollars par an, augmenteront de 20 % à 30 % par an en moyenne dans un avenir proche. L'investissement dans la quantification des cyberrisques est devenu un pilier de l'informatique et de la cybersécurité et une valeur ajoutée indispensable pour contrôler les coûts et prendre des décisions d'investissement judicieuses et basées sur l'analyse. cyber-assurance. Assurer la couverture devient déjà plus difficile. Comme toute police d'assurance, il y a de nombreuses mises en garde à prendre en compte, notamment l'investissement dans un outil de cyber quantification comme condition préalable à l'obtention d'une couverture d'assurance. En fait, plus vous investissez dans la quantité appropriée de contrôles et d'outils de cybersécurité, plus vous avez de chances d'avoir accès aux produits d'assurance dont vous avez besoin. le risque en premier lieu est beaucoup moins coûteux que l'assurance. La quantification du risque signifie que vous pouvez peser le pour et le contre de la souscription du risque et prendre des décisions plus éclairées sur où investir. Ceci est particulièrement important à mesure que les cyber-violations augmentent avec les primes.

La quantification des cyber-risques est désormais fermement établie comme une innovation clé et une valeur ajoutée indispensable à la gestion intégrée des risques. Pensez à l'impact commercial de la prise de décisions basées sur les données en fonction de l'exposition au risque par rapport aux investissements requis. Les professionnels de la sécurité et des risques peuvent obtenir une base efficace pour allouer des budgets de cybersécurité et des ressources limitées pour hiérarchiser les efforts d'atténuation. Quantification des risques