Jodå, det går att sätta en kostnad på dina cyberrisker

Att uppskatta kostnader för cyberrisker har länge varit ett gissel. De traditionella metoderna lämnar fältet öppet för frågor, och för mycket plats för motargument. Men nu finns det ett annat sätt att lösa det – äntligen kan du få fram hårda siffror på vad ett intrång kan kosta att visa för ledningsgruppen.

Författare: F-Secure Business Security Insider
Datum: 14.09.2017
Lästid: 5 Minuter

Om du hållit på med IT-säkerhet ett tag så minns du säkert den gamla goda tiden – när man kunde sätta upp en ny säkerhetslösning och sedan luta sig tillbaka och bara titta på när den tog hand om alla otrevligheter som kastades mot ditt nätverk. (Nåja, riktigt så var det kanske inte – men bra nära, speciellt om man jämför med hur det ser ut idag…)

Numera handlar det ju snarare om att acceptera det faktum att det inte går att skydda sig till 100 procent. Säkerhetsarbetet har blivit en övning i att balansera risk, att avgöra vad som är acceptabel risk. Och alltför ofta är det inte hotbilden där ute, eller värdet på den information som ska skyddas som avgör – det är hur mycket man kan implementera med de resurser som finns tillgängliga.

Ett problem för många här är att det är så komplicerat att kvantifiera säkerhetsarbete. Det är svårt att sätta en prislapp på ett intrång – det är lätt att det blir för otydligt, för svepande och för osäkert. Och sett till de metoder som oftast används så är det precis så det är.

Så när en CISO ska dra upp en budget, eller äska pengar hos ledningen för en ny satsning eller en ny säkerhetslösning så blir det ofrånkomligen en kulturkrock, ett möte mellan människor som pratar olika språk. Finanschefen och VD:n tänker i termer av reella summor, i affärsvärde och ROI. Och utan några hårda siffror att presentera måste CISO:n hitta andra sätt att övertyga att det är en satsning som är värd att genomföra. Oftast landar det i ett argument baserat på rädsla, en ren skrämseltaktik: ”Om vi inte gör det här, så kommer allt att gå åt helvete.”

För vilken ledningsgrupp vill hamna där, i ett läge där ”allt gått åt skogen” och tidningsrubrikerna handlar om ditt eget misslyckande?

Men skrämseltaktiken är långt ifrån perfekt.

Den kan ge önskat utfall i det korta perspektivet, men i ett längre perspektiv sitter ledningsgruppen kvar och har inte fått ett enda svar på sina frågor. Hur gör ett företag för att ta reda på om deras investeringar i säkerhet faktiskt minskar risken i den utsträckning man hoppas? Det där dyra utbildningsprogrammet för alla medarbetare, den nya monitoreringslösningen, att man bytte ut säkerhetslösningen på alla klienter? Hur vet företaget att de satsar pengar på rätt saker, riktar sina insatser mot rätt saker? Hur vet man att försäkringen ger tillräcklig täckning om man råkar ut för ett dataintrång, ett ransomware-utbrott eller blir utsatt för en DDoS-kampanj?

Och hur förklarar CISO:n hur viktiga investeringarna är för företagets ledning, utan att spela ut skrämselkortet?

Svaret på alla dessa frågor ligger i att på ett korrekt sätt kunna kvantifiera effekterna av en cyberincident, att kunna sätta en faktisk siffra i reda pengar på vad olika typer intrångsscenarier skulle kosta företaget.

”De flesta företag förlitar sig på någon form av kvalitativ rådgivande lösning, ofta i formen av en ”heatmap” som beskriver hur sårbara de är på en ganska grovhuggen skala från låg till hög som baseras på vaga uppskattningar och som klumpar samman mindre incidenter och mindre förluster med sällsynta större händelser”, skriver Chacko, Sekeris och Herbolzheimer i Harvard Business Review. ”Men det här hjälper inte de ansvariga att förstå om de står inför ett 10-miljonerdollarsproblem eller ett 100-miljonerdollarsproblem, och det ger ingen som helst vägledning i frågor som huruvida de borde investera i skydd mot skadlig kod eller ett nytt e-postskydd. Resultatet är att företag fortsätter att göra felbedömningar och fortsätter att prioritera fel när det gäller vilka cybersäkerhetslösningar de ska satsa på. Och det leder samtidigt till att de får ett ofullständigt försäkringsskydd för den här typen av incidenter.”

Men – det går att sätta reella siffror på olika typer av risker inom cybersäkerhet och det går att prata om de här frågorna på ett språk som både CISO och styrelsen kommer att förstå:

”Att implementera den här teknologin kommer att kosta oss en miljon kronor, men det kommer att minska vår risk med 20 miljoner.”

”Vi behöver inte ha täckning för en halv miljard i vår cybersäkerhetsförsäkring, och det här är anledningen.”

Det är precis den här typen av uttalanden som CISO:er och CFO:er kan göra – och stå för – tack vare nya metoder för att mäta och kvantifiera cyberrisker. F-Secures nya lösning kallas Cyber Breach Impact Quantification (CBIQ) och kan användas för att förutspå hur mycket en cyberincident kommer att kosta företaget. Den visar också hur mycket olika typer av säkerhetslösningar kan minska riskerna.

Marko Buuri, riskhanteringskonsult på F-Secure, förklarar huvudtankarna bakom CBIQ i filmen nedan. Han har också beskrivit ett exempel på hur processen går till i det här inlägget.

Enligt Marko Buuri innebär möjligheten att använda riktiga siffror, som tagits fram med en transparent process, att många av de problem som präglat beslutsprocessen kring säkerhetssatsningar på företag blir betydligt mindre, och att de i många fall rentav försvinner helt. Nu behöver man inte spela ut skrämselkortet eller ge sig in i diskussioner, präglade av intern maktkamp, kring huruvida man ska investera i en viss säkerhetslösning. Det är bara att kolla på siffrorna och låta dem tala för sig själva.

Eller som Marko Buuri själv uttrycker det: ”Varför ska man nöja sig med gissningar och vaga uppskattningar när det går att ta fram hårda siffror?”

Ladda ner en infografik om möjligheterna med CBIQ-metoden, jämfört med traditionella verktyg:

LÄS MER OM VÅRA LÖSNINGAR OCH TJÄNSTER

LADDA NER INFOGRAFIKEN


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s