Risico. Zie je het als iets negatiefs, of als een kans?
Wat als u risico’s zou kunnen kwantificeren in dollars en ze vervolgens nauwkeurig zou beheren? Het zou je misschien opportunistischer aan het denken kunnen zetten; als iets waar je meer controle over had en waar je strategisch gebruik van kon maken. Dat is de belofte van risicokwantificering, en vandaag is het een realiteit.
Heatmaps achterlaten
Risico wordt traditioneel gemeten in generieke termen, vaak als rood/geel/groen warmtekaarten. Hoewel deze grafieken enig inzicht gaven in het risiconiveau, is dit slechts het topje van de ijsberg.
De meeste Chief Information Security Officers (CISO’s) en Chief Risk Officers (CRO’s) waren aanvankelijk opgelucht om cyberrisico’s te meten met deze kleurgecodeerde heatmaps, die het beste vertegenwoordigden dat ze hadden om dreigingsniveaus te bepalen, waar vervolgens te investeren en waar besturen zouden kunnen nemen hun voet van het gaspedaal.
Volgens Deloitte: “Besturen, leidinggevenden en de organisatie in het algemeen erkennen hun fiduciaire verantwoordelijkheden jegens klanten – en nemen die taken serieus. Maar als het gaat om het identificeren van cyberrisico’s en het efficiënt toewijzen van middelen om ze te verminderen, blijft de industrie worstelen.”
De nieuwste ontwikkelingen in de sector op het gebied van kwantificering van cyberrisico’s bieden een organisatie nu een nauwkeurigere maatstaf door numerieke dollarwaarden toe te kennen. Door een kwantificeerbare maatstaf te bieden voor de impact van cyberhacks of externe bedreigingen, kunnen organisaties voorkomen dat ze miljoenen dollars, zo niet meer, betalen voor het corrigeren van verliezen en schade.
Hier zijn drie overwegingen voor het implementeren van een meer strategische benadering van het kwantificeren van risico’s.
Overstappen op cyberrisicovaluta met geavanceerde technologie
De huidige zakelijke omgeving bestaat over het algemeen uit variaties in taxonomieën voor risicoscores binnen een enkel bedrijf. Het harmoniseren van technieken en methoden voor risicobeheer door te streven naar een gemeenschappelijke risicoscore voor cyber-, operationele risico- en veerkrachtteams is van cruciaal belang voor succes. Bedrijven hebben een risicoscore nodig die is gebaseerd op consistente factoren en is gebaseerd op de zakelijke context. Een gecombineerde risicoscore helpt cyberteams om de kosten-batenverhouding van een enkele risicobeperkingsstrategie of een combinatie daarvan nauwkeurig af te wegen. Het kan ook helpen om de wendbaarheid en snelheid van herstelinspanningen te vergroten.
Nauwkeurige berekening van cyberrisico in numerieke termen maakt gebruik van geavanceerde statistische technieken zoals Monte Carlo-algoritmen, een brede klasse van computationele algoritmen die afhankelijk zijn van herhaalde willekeurige steekproeven om numerieke resultaten te verkrijgen. Ze maken niet alleen de integratie mogelijk van verschillende onzekerheden die verband houden met de uitkomsten van cyberverlies, maar vergemakkelijken ook de aggregatie van verschillende niet-gerelateerde risicoprofielen. Het resultaat is een gericht inzicht in welke cyberrisico’s het meest kritisch zijn en de meeste aandacht behoeven. Dit vergemakkelijkt op zijn beurt een optimaal gebruik van mitigatie-inspanningen om de risicoblootstelling te verminderen. Door het gebruik van geavanceerde technologie ben je goed op weg om heatmaps in het verleden achter je te laten.
Gegevens implementeren vanuit meerdere punten van een organisatie
Het nemen van gegevenspunten uit meerdere sectoren van een organisatie en het samenbrengen van alle gegevens leidt tot een enkelvoudig getal dat een echt beeld geeft van risico in een vereenvoudigde geldelijke termijn. Maar uiteindelijk vinden we het nog belangrijker om een gedegen risicokwantificeringsplan te implementeren door ons voor te bereiden op de negatieve kant van risico. Met deze proactieve aanpak worden niet alleen dure boetes en geldverliezen vermeden, maar kunnen organisaties de meeste realtime cyberproblemen vermijden.
Het definiëren van een duidelijk geldbedrag blijkt ook relevant in de werkrelatie tussen CISO’s en raden van bestuur. Het is niet zo ongewoon dat de twee partijen miscommunicatie hebben over budgetgerelateerde kwesties, waarbij de raad van bestuur misschien moeite heeft om in realtime te zien waar dat budget wordt toegewezen. Het kwantificeren van risico’s leidt tot een duidelijker beeld van waar dat budget wordt gebruikt, wat zowel voor de CISO als voor de raad van bestuur nuttig is.
Door deze geïntegreerde data-oplossing biedt risicokwantificering de volgende voordelen:
- Bestuurders en leidinggevenden begrijpen de blootstelling aan cyberrisico’s beter en begrijpen wat er op het spel staat, uitgedrukt in termen van dollarwaarde.
- CISO’s krijgen een nauwkeurig beeld van de impact van cyberrisico’s, zoals datalekken, identificatiediefstal en uitvaltijd van de infrastructuur.
- Uitvoerende teams kunnen cyberinvesteringen beter prioriteren, de afstemming tussen cyberprogramma’s en bedrijfsdoelen stimuleren en een optimale verzekeringsdekking plannen.
- CISO’s kunnen een verdedigbare rechtvaardiging voor cyberinvesteringen ontwikkelen, gebaseerd op de reactie van de risicokwantificeringsmodellen op nieuwere aanvullende controles.
Waarom is risicokwantificering nu belangrijk?
Standard and Poor’s Corp. heeft eind 2020 een rapport uitgebracht waarin staat dat “de premies voor cyberverzekeringen, die nu in totaal ongeveer $ 5 miljard per jaar bedragen, in de nabije toekomst gemiddeld met 20 tot 30 procent per jaar zullen stijgen.” Investeren in kwantificering van cyberrisico’s is uitgegroeid tot een pijler van IT en cyberbeveiliging en een onmisbare toegevoegde waarde om de kosten te beheersen en verstandige, op analyse gebaseerde investeringsbeslissingen te nemen.
Verzekeringsmaatschappijen met eindige risico’s verzekeren momenteel bijvoorbeeld cyberrisico’s en bieden cyberverzekeringen aan. Het beveiligen van dekking wordt al een grotere uitdaging. Zoals bij elke verzekeringspolis, zijn er veel kanttekeningen bij het overwegen om te investeren in een cyberkwantificeringstool als voorwaarde voor het verkrijgen van verzekeringsdekking. Hoe meer u investeert in de juiste hoeveelheid cyberbeveiligingscontroles en -hulpmiddelen, hoe groter de kans dat u toegang krijgt tot de verzekeringsproducten die u nodig hebt.
Een bijkomend voordeel is dat het nemen van de juiste stappen om risico’s in de eerste plaats te beperken, veel goedkoper is dan verzekeringen. Door risico’s te kwantificeren, kunt u de voor- en nadelen van het aanvaarden van het risico afwegen en beter geïnformeerde beslissingen nemen over waar te beleggen. Dit is vooral belangrijk omdat cyberinbreuken samen met premies toenemen.
Kwantificering van cyberrisico’s is nu stevig verankerd als een belangrijke innovatie en onmisbare toegevoegde waarde voor geïntegreerd risicobeheer. Denk aan de zakelijke impact van het nemen van datagestuurde beslissingen op basis van risicoblootstelling versus vereiste investeringen. Beveiligings- en risicoprofessionals kunnen een efficiënte basis krijgen voor het toewijzen van budgetten voor cyberbeveiliging en beperkte middelen om prioriteit te geven aan mitigatie-inspanningen.
