Trwa ładowanie. Prosimy o chwilę cierpliwości.

Sposób na szacowanie

– kosztu ryzyka cyberbezpieczeństwa

Bezpieczeństwo

CEL PROJEKTU

Interdyscyplinarny zespół ekspertów EY Polska opracował metodykę zarządzania ryzykiem cyberbezpieczeństwa, która definiuje procesy: identyfikacji nowych zagrożeń, ich analizy i oceny oraz postępowania z ryzykiem. Model jest nakierowany na ścisłą integrację z systemem zarządzania ryzykiem w organizacji, w tym ryzykiem operacyjnym. Istotnym elementem jest wykorzystanie wyników szacowania ryzyka w procesach decyzyjnych dzięki możliwości przedstawienia wartości ryzyka cyberbezpieczeństwa w wartości monetarnej.

Sposób na szacowanie

– kosztu ryzyka cyberbezpieczeństwa

Bezpieczeństwo

CEL PROJEKTU

Interdyscyplinarny zespół ekspertów EY Polska opracował metodykę zarządzania ryzykiem cyberbezpieczeństwa, która definiuje procesy: identyfikacji nowych zagrożeń, ich analizy i oceny oraz postępowania z ryzykiem. Model jest nakierowany na ścisłą integrację z systemem zarządzania ryzykiem w organizacji, w tym ryzykiem operacyjnym. Istotnym elementem jest wykorzystanie wyników szacowania ryzyka w procesach decyzyjnych dzięki możliwości przedstawienia wartości ryzyka cyberbezpieczeństwa w wartości monetarnej.

OPIS PROJEKTU

Według wyników corocznego badania EY „Global Information Security Survey” ryzyko cyberbezpieczeństwa jest jednym z najważniejszych priorytetów dla członków zarządów firm. Tymczasem mniej niż połowa z nich planuje inwestycje w tym obszarze. Może to wynikać z braku jednoznaczniej odpowiedzi na pytanie, w jaki sposób można korzystać z wyników analizy ryzyka w wewnętrznych procesach decyzyjnych.

 

Opracowane podejście, dzięki zebraniu i zamodelowaniu dostępnych w organizacji danych, umożliwia:

• Kalkulację w trybie online poziomu ryzyka cyberbezpieczeństwa w oparciu o katalog mierników zasilany informacjami z narzędzi wspierających cyberbezpieczeństwo w organizacji, pozwalając jednocześnie na monitorowanie skuteczności funkcjonującego systemu kontroli wewnętrznej.

• Bieżące monitorowanie i podejmowanie działań w odpowiedzi na nowe zagrożenia oraz przypadki przekroczenia progów ostrzegawczych ryzyka.

• Szacowanie poziomu ryzyka cyberbezpieczeństwa i wyrażenie go w złotówkach jako wartość zagrożona (Value at Risk), czyli maksymalna oczekiwana wartość straty, która może wystąpić w określonych warunkach.

• Integrację z procesami: zarządzania ryzykiem operacyjnym, rozwoju systemów informatycznych, realizacji projektów, definiowania strategii IT i cyberbezpieczeństwa.

• Zapewnienie zgodności z obowiązującymi regulacjami, dobrymi praktykami w zakresie bezpieczeństwa informacji oraz standardami branżowymi. 

Zalety:

Wizualizacja wpływu ryzyka cyberbezpieczeństwa na język zrozumiały dla świata finansów daje szereg zastosowań w procesach decyzyjnych. Znając wartość zagrożoną powiązaną z poziomem ryzyka cyberbezpieczeństwa, możemy:

• Prowadzić analizę typu „what-if”, pozwalającą symulować zmiany poziomu ryzyka cyberbezpieczeństwa i kwoty wartości zagrożonej, jeśli zainwestujemy określoną kwotę w rozwiązanie poprawiające poziom bezpieczeństwa.

• Przygotowywać business case’y dla realizacji nowych inicjatyw prezentujące wpływ inwestycji na zmniejszenie poziomu ryzyka cyberbezpieczeństwa i kwoty wartości zagrożonej.

Korzyści z zarządzania ryzykiem cyberbezpieczeństwa przekładają się bezpośrednio na działanie organizacji i pozwalają uniknąć kosztów związanych z karami czy stratami operacyjnymi – bądź też utraty potencjalnych przychodów.


Odpowiedź na potrzeby organizacji:

Zarządzanie ryzykiem cyberbezpieczeństwa przy wykorzystaniu odpowiedniej metodyki daje wiele możliwości każdej organizacji niezależnie od sektora, w którym działa.

Najważniejsze z nich to:

• możliwość prezentacji ryzyka w wartości monetarnej;

• wsparcie w procesach inwestycyjnych;

• bieżące monitorowanie profilu ryzyka cyberbezpieczeństwa.

– Oszacowanie wartości ryzyka cyberbezpieczeństwa w wartości monetarnej pozwala podejmować trafniejsze decyzje biznesowe i dostarcza argumentów w rozmowach CTO, CIO i CISO z decydentami. Pamiętajmy jednak, że to właśnie od organizacji zależy, które z tych możliwości będą odpowiedzią na faktyczne cele stawiane przed zarządzaniem ryzykiem i w jaki sposób zostaną wykorzystane, aby dostarczyć realną wartość – mówi Wojciech Dańczyszyn.

Komentarz:

ZARZĄDZANIE RYZYKIEM CYBERBEZPIECZEŃSTWA JEST CZĘSTO NIEDOCENIANE

W znakomitej większości organizacji szacowanie ryzyka cyberbezpieczeństwa i zarządzanie tym ryzykiem bazuje na podejściu jakościowym. Opiera się na wykorzystaniu kwestionariuszy zawierających niezliczone pytania, które aktualizowane są najczęściej raz do roku. Skoordynowanie takiego procesu, zwłaszcza w dużych podmiotach, jest zadaniem czasochłonnym i angażującym wiele jednostek organizacyjnych. Często spotykany jest również schemat, w którym organizacje realizują proces zarządzania ryzykiem cyberbezpieczeństwa, aby zapewnić jedynie zgodność z wymaganiami regulacyjnymi przy zastosowaniu minimalnych nakładów. Oczywiście, zapewnienie zgodności z regulacjami jest kluczowe z perspektywy podmiotów funkcjonujących na rynku regulowanym, niemniej zapewnienie odporności środowiska teleinformatycznego na zagrożenia polega na stosowaniu rozwiązań, które będą dostarczały rzeczywistą wartość dla organizacji. Obserwowane jest także podejście bazujące na założeniu, że ryzyko cyberbezpieczeństwa jest wyłącznie problemem działów bezpieczeństwa, a nie szerszą kwestią biznesową. Nie dziwi zatem fakt, że bazujące na tak skonstruowanych przesłankach podmioty starają się przede wszystkim ograniczać koszty. Konsekwencją postrzegania cyberbezpieczeństwa jako centrum kosztów bez wskazania płynących z niego korzyści jest spadek poziomu zabezpieczeń. Założenia leżące u podstaw trzech opisanych trendów stanowią pułapkę, ponieważ istotnie ograniczają wartość, jaką organizacje mogą czerpać z procesów szacowania ryzyka i zarządzania nim.

W rezultacie niewiele z nich jest w stanie odpowiedzieć na najważniejsze pytania:

• Jakie są najistotniejsze ryzyka cyberbezpieczeństwa, na które narażona jest moja organizacja i jaki jest ich poziom?

• Które inicjatywy w obszarze cyberbezpieczeństwa są najważniejsze z perspektywy celów organizacji?

• Czy jako organizacja inwestujemy we właściwe rozwiązania ograniczające ryzyko cyberbezpieczeństwa?

• Czy mamy ogólny wgląd w profil cyberryzyka na poziomie organizacji i w danym momencie?

Problemów z szacowaniem ryzyka cyberbezpieczeństwa i zarządzaniem nim jest o wiele więcej. W szczególności dotyczą one braku, wspomnianej już, możliwości wglądu w aktualny profil cyberryzyka całej organizacji, ale również oceny ryzyk w odniesieniu do poszczególnych aktywów informacyjnych. Poza tym wyniki szacowania nie są wykorzystywane dalej w procesach decyzyjnych. A także bardzo trudno uchwycić potencjalny koszt materializacji ryzyka.
 

Gdyby zarządzający mieli dostęp do narzędzi pozwalających przełożyć wpływ ryzyka cyberbezpieczeństwa na język finansów, moglibyśmy bardziej koncentrować się na zabezpieczeniu firmy przed skutkami potencjalnych cyberataków.

Wojciech Dańczyszyn Manager w Zespole Zarządzania Ryzykiem Informatycznym EY Polska

OPIS PROJEKTU

Według wyników corocznego badania EY „Global Information Security Survey” ryzyko cyberbezpieczeństwa jest jednym z najważniejszych priorytetów dla członków zarządów firm. Tymczasem mniej niż połowa z nich planuje inwestycje w tym obszarze. Może to wynikać z braku jednoznaczniej odpowiedzi na pytanie, w jaki sposób można korzystać z wyników analizy ryzyka w wewnętrznych procesach decyzyjnych.

 

Opracowane podejście, dzięki zebraniu i zamodelowaniu dostępnych w organizacji danych, umożliwia:

• Kalkulację w trybie online poziomu ryzyka cyberbezpieczeństwa w oparciu o katalog mierników zasilany informacjami z narzędzi wspierających cyberbezpieczeństwo w organizacji, pozwalając jednocześnie na monitorowanie skuteczności funkcjonującego systemu kontroli wewnętrznej.

• Bieżące monitorowanie i podejmowanie działań w odpowiedzi na nowe zagrożenia oraz przypadki przekroczenia progów ostrzegawczych ryzyka.

• Szacowanie poziomu ryzyka cyberbezpieczeństwa i wyrażenie go w złotówkach jako wartość zagrożona (Value at Risk), czyli maksymalna oczekiwana wartość straty, która może wystąpić w określonych warunkach.

• Integrację z procesami: zarządzania ryzykiem operacyjnym, rozwoju systemów informatycznych, realizacji projektów, definiowania strategii IT i cyberbezpieczeństwa.

• Zapewnienie zgodności z obowiązującymi regulacjami, dobrymi praktykami w zakresie bezpieczeństwa informacji oraz standardami branżowymi. 

Zalety:

Wizualizacja wpływu ryzyka cyberbezpieczeństwa na język zrozumiały dla świata finansów daje szereg zastosowań w procesach decyzyjnych. Znając wartość zagrożoną powiązaną z poziomem ryzyka cyberbezpieczeństwa, możemy:

• Prowadzić analizę typu „what-if”, pozwalającą symulować zmiany poziomu ryzyka cyberbezpieczeństwa i kwoty wartości zagrożonej, jeśli zainwestujemy określoną kwotę w rozwiązanie poprawiające poziom bezpieczeństwa.

• Przygotowywać business case’y dla realizacji nowych inicjatyw prezentujące wpływ inwestycji na zmniejszenie poziomu ryzyka cyberbezpieczeństwa i kwoty wartości zagrożonej.

Korzyści z zarządzania ryzykiem cyberbezpieczeństwa przekładają się bezpośrednio na działanie organizacji i pozwalają uniknąć kosztów związanych z karami czy stratami operacyjnymi – bądź też utraty potencjalnych przychodów.


Odpowiedź na potrzeby organizacji:

Zarządzanie ryzykiem cyberbezpieczeństwa przy wykorzystaniu odpowiedniej metodyki daje wiele możliwości każdej organizacji niezależnie od sektora, w którym działa.

Najważniejsze z nich to:

• możliwość prezentacji ryzyka w wartości monetarnej;

• wsparcie w procesach inwestycyjnych;

• bieżące monitorowanie profilu ryzyka cyberbezpieczeństwa.

– Oszacowanie wartości ryzyka cyberbezpieczeństwa w wartości monetarnej pozwala podejmować trafniejsze decyzje biznesowe i dostarcza argumentów w rozmowach CTO, CIO i CISO z decydentami. Pamiętajmy jednak, że to właśnie od organizacji zależy, które z tych możliwości będą odpowiedzią na faktyczne cele stawiane przed zarządzaniem ryzykiem i w jaki sposób zostaną wykorzystane, aby dostarczyć realną wartość – mówi Wojciech Dańczyszyn.

Komentarz:

ZARZĄDZANIE RYZYKIEM CYBERBEZPIECZEŃSTWA JEST CZĘSTO NIEDOCENIANE

W znakomitej większości organizacji szacowanie ryzyka cyberbezpieczeństwa i zarządzanie tym ryzykiem bazuje na podejściu jakościowym. Opiera się na wykorzystaniu kwestionariuszy zawierających niezliczone pytania, które aktualizowane są najczęściej raz do roku. Skoordynowanie takiego procesu, zwłaszcza w dużych podmiotach, jest zadaniem czasochłonnym i angażującym wiele jednostek organizacyjnych. Często spotykany jest również schemat, w którym organizacje realizują proces zarządzania ryzykiem cyberbezpieczeństwa, aby zapewnić jedynie zgodność z wymaganiami regulacyjnymi przy zastosowaniu minimalnych nakładów. Oczywiście, zapewnienie zgodności z regulacjami jest kluczowe z perspektywy podmiotów funkcjonujących na rynku regulowanym, niemniej zapewnienie odporności środowiska teleinformatycznego na zagrożenia polega na stosowaniu rozwiązań, które będą dostarczały rzeczywistą wartość dla organizacji. Obserwowane jest także podejście bazujące na założeniu, że ryzyko cyberbezpieczeństwa jest wyłącznie problemem działów bezpieczeństwa, a nie szerszą kwestią biznesową. Nie dziwi zatem fakt, że bazujące na tak skonstruowanych przesłankach podmioty starają się przede wszystkim ograniczać koszty. Konsekwencją postrzegania cyberbezpieczeństwa jako centrum kosztów bez wskazania płynących z niego korzyści jest spadek poziomu zabezpieczeń. Założenia leżące u podstaw trzech opisanych trendów stanowią pułapkę, ponieważ istotnie ograniczają wartość, jaką organizacje mogą czerpać z procesów szacowania ryzyka i zarządzania nim.

W rezultacie niewiele z nich jest w stanie odpowiedzieć na najważniejsze pytania:

• Jakie są najistotniejsze ryzyka cyberbezpieczeństwa, na które narażona jest moja organizacja i jaki jest ich poziom?

• Które inicjatywy w obszarze cyberbezpieczeństwa są najważniejsze z perspektywy celów organizacji?

• Czy jako organizacja inwestujemy we właściwe rozwiązania ograniczające ryzyko cyberbezpieczeństwa?

• Czy mamy ogólny wgląd w profil cyberryzyka na poziomie organizacji i w danym momencie?

Problemów z szacowaniem ryzyka cyberbezpieczeństwa i zarządzaniem nim jest o wiele więcej. W szczególności dotyczą one braku, wspomnianej już, możliwości wglądu w aktualny profil cyberryzyka całej organizacji, ale również oceny ryzyk w odniesieniu do poszczególnych aktywów informacyjnych. Poza tym wyniki szacowania nie są wykorzystywane dalej w procesach decyzyjnych. A także bardzo trudno uchwycić potencjalny koszt materializacji ryzyka.
 

Gdyby zarządzający mieli dostęp do narzędzi pozwalających przełożyć wpływ ryzyka cyberbezpieczeństwa na język finansów, moglibyśmy bardziej koncentrować się na zabezpieczeniu firmy przed skutkami potencjalnych cyberataków.

Wojciech Dańczyszyn Manager w Zespole Zarządzania Ryzykiem Informatycznym EY Polska

Podobne projekty