Cyber risk

Kwantificeer cyberrisicobeheer – en neem goede beslissingen

Migiel de Wit-Beets
Door:
Risicos kwantificeren in een digitale tijd
Cyberrisicomanagement is maar al te vaak gebaseerd op gevoel, in plaats van informatie. In dit artikel leggen wij uit hoe u alle risico's rondom een cyberaanval kunt omzetten in concrete financiële termen. Die kunt u vervolgens vergelijken met uw uitgaven voor cyberbeveiliging. Zo neemt u beslissingen op basis van cijfers én overtuigingen. Slim.
Onderwerpen

Cyberrisicobeheer met nuchtere cijfers voor complexe risico’s

Traditioneel vertrouwden directies op de mening van hun Chief Information Security Officer; CISO. Die baseerde zich op een eenvoudige kostenberekening van bijvoorbeeld het aantal bedrijfsdagen dat verloren zou kunnen gaan tijdens een cyberaanval. De vergelijking is echter veel complexer. Het omvat gegevensverlies, reputatieproblemen en zelfs kans op overtreding van de regelgeving. Maar hoe kwantificeer je dat?

Gebruik uw eigen gegevens als basis

Een kwantitatieve benadering is al een aantal jaren mogelijk met verschillende methodes. Die vragen van ondernemingen wel een geavanceerd inzicht in de bedreigingen van de ondernemingen, de waarschijnlijkheid dat die bedreigingen zich manifesteren en de kostenimpact ervan.

U kunt een database van historische cyberbeveiligingsgebeurtenissen aanleggen. Met die risicokwantificering kunt u een reële waarde in geld toekennen aan de cyberdreigingen, waarmee u ook echt werd geconfronteerd. Die waarde kunt u direct vergelijken met de kosten van investeringen in cyberbeveiliging. Besluiten wordt zo makkelijk.

En dit is al opgepikt. De Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) in Duitsland eist bijvoorbeeld al dat Duitse banken cyberrisico’s kwantificeren. De Amerikaanse Securities and Exchange Commission (SEC) had al in 2018 richtlijnen gegeven, waarin zij kwantificering van cyberrisico's aanbeveelt. Niet de minste commissies.

Datarisico’s na een datalek door diefstal, hack of verlies
Lees dit artikel
Datarisico’s na een datalek door diefstal, hack of verlies

De voordelen van cyber risicokwantificering

Makkelijk uitleggen

Met cyber risicokwantificering kunt u uw cyberbeveiliging eenvoudig uitleggen aan belanghebbenden – ook als ze niet bekend zijn met de technologie. De eenvoudige vraag "voelen we ons comfortabel met X miljoen euro aan potentiële verliezen als we Y miljoen euro niet investeren in deze beveiligingstool?" kan al het verschil maken in uw gesprekken.

Slim bijsturen

U kunt bijsturen en zelfs een beveiligingsbudget vaststellen voor elk van uw cyberbeveiligingsinstrumenten. Als de cyberbeveiliging de cyberaanvallen niet voorkomt, verhoogt u de investering. Als de verwachte cyberbedreigingen uitblijven, kunt u de investering terugschroeven. Dit helpt u ook te bepalen welke vorm van verzekeringen u het beste kunt afsluiten.

Veilige keten: een reële financiële waarde

In de kwantificering van cyberrisico’s neemt u ook uw distributieketen mee. Veel ondernemers baseren het cyberrisicomanagement van hun leveranciers alleen op subjectieve controles, zonder enige gegevensondersteuning. Vooral bij gedecentraliseerde ondernemingen is het essentieel om vast te stellen waar cyberdreigingen het grootste risico vormen. Goed inzicht in de keten, met cijfers onderbouwd, vertegenwoordigt een reële financiële waarde voor uw bedrijf. En voor de ondernemingen waarmee u samenwerkt. Dit kan ook een rol spelen bij het due diligence-onderzoek bij fusies en overnames. U kunt een slechte cyberveiligheidshygiëne bij overnamekandidaten goed vooraf vaststellen. Zo houdt u de keten schoon, de cyberrisico’s laag en – verhoogt u uw waarde.

Eenvoudig kwantificeren met ons platform

Het kwantificeren van cyberrisico’s is van toegevoegde waarde voor elk bedrijf. Het is echter niet altijd haalbaar dit zelf goed uit te zoeken. Precies daarom hebben wij een nulmeting voor cyberweerbaarheid ontwikkeld. Hiermee krijgt u in korte tijd een goed beeld van de cyberweerbaarheid van uw organisatie. Deze nulmeting bestaat uit een top-down analyse aan de hand van interviews, document reviews en een bottom-up analyse door inzet van geautomatiseerde tools.

Wilt u uw cyberrisico’s kwantificeren? – Bel of mail ons.