Hoppa till huvudinnehåll
Varför CISO:n behöver arbeta med kvantifiering av cyberrisker (CRQ)

Varför CISO:n behöver arbeta med kvantifiering av cyberrisker (CRQ)

20 Apr 2022

Cyberattackerna ökar ständigt och är något de flesta företag är medvetna om, vilket medför ett ökande behov av att cyberrisker mäts och rapporteras i finansiella termer. Företagsledare vill helt enkelt veta mer om de risker de står inför och vad kostnaderna kan vara. Därför behöver CISO:n börja arbeta med kvantifiering av cyberrisker.

 

Vad menas med kvantifiering av cyberrisker (CRQ)?

Att arbeta med kvantifiering av cyberrisker betyder att prioritera risker efter hur stor ekonomisk förlust de kan innebära, vilket gör det möjligt för de ansvariga personerna på företaget att skapa budgetar baserade på de riskreducerande strategier som ger det bästa skyddet och avkastningen på investeringen.

I en kvantifiering av cyberrisker tittar du på den ekonomiska effekten av cyberrisk på din verksamhet, men också på mer immateriella men ändå grundläggande områden som kundnöjdhet, medarbetarengagemang, rykteshantering, varumärkesskydd och supply chain management. Alla dessa är risker som kommer att kosta dig pengar i slutändan.

 

CRQ

 

Först måste du göra en riskanalys

För att kunna göra en kvantifiering av cyberrisker behöver du göra din riskanalys. I denna identifieras de risker din organisation för närvarande är utsatt för. Målet med riskanalysen är att i slutändan kunna sätta in rätt riskreducerande åtgärder och att skapa en säkrare verksamhet där fokus sätts på rätt platser.

Läs mer om riskanalys i vårt blogginlägg!

 

Hur du gör en kvantifiering av cyberrisker

När du har identifierat dina risker måste du samla all denna information för att förstå vilka typer av cyberhändelser du kan möta och vilka monetära effekter de kan få. Detta inkluderar att kartlägga kostnadskomponenterna för olika händelser för att förstå de olika typer av ekonomiska konsekvenser som kan uppstå.

Riskkostnaden är sannolikheten för en viss konsekvens gånger kostnaden som konsekvensen har. Så för en konsekvens som skulle kosta företaget eller organisationen 1 Mkr och har en sannolikhet på en gång vart tionde år, är riskkostnaden 100 000 kr/år. Skyddet för just denna risk bör då inte vara mer än det beloppet.

Viktigt när du gör denna kvantifiering är att komma ihåg att en cyberhändelse som orsakar affärsavbrott kan ha utgifter på många områden. Ett exempel är PR, där kostnader för att minimera den anseendeskada som kan uppstå är en eventuell extrakostnad man behöver lägga in i sin kvantifiering. En cyberhändelse kan också resultera i förlorade intäkter på grund av att man inte kan driva verksamheten som vanligt under denna period av avbrott och då måste även denna kostnad inkluderas. Att förstå dessa olika kostnadsdrivande faktorer är nödvändigt för att få en fullständig förståelse för ett företags exponering, samt för att sedan bestämma en kostnadsfördelning per händelse genom att modellera vilken inverkan en specifik typ av händelse sannolikt kommer att ha på en organisation.

Detta kan låta komplicerat men att överväga sannolikheten och den ekonomiska effekten på detta sätt är inget unikt för cyberrisker, det är samma metod som används när man diskuterar andra risker för en verksamhet eller organisation.

 

CRQ

 

Vilka är fördelarna med kvantifiering av cyberrisker?

När du arbetar med kvantifiering av cyberrisker kommer du att få en bättre förståelse för de mest kostsamma riskerna som din organisation står inför. Du kommer att veta var du ska investera, hur mycket du ska investera och vilken typ av skydd du behöver.

Detta innebär att säkerhetsteamet kan anpassa sina ansträngningar och prioritera de mest betydande riskerna snarare än att allokera resurser till mindre viktiga och lägre prioriterade risker. Deras fokus kommer att vara att säkerställa att verksamheten har tillräckligt med skyddsprocesser för att försvara sig mot de dyrare riskerna och göra ytterligare investeringar om det behövs.

Genom att kvantifiera cyberrisk får du också underlag för diskussioner i hela organisationen om hur och vad organisationen kan göra för att öka sin cyberresiliens. Detta kommer att hjälpa organisationen att inse att kampen för att skydda sig mot cyberattacker inte är ett ansvar som vilar enbart på IT-avdelningen, utan ett ansvar för hela organisationen!

Om du vill lära dig mer om att mäta cyberrisker, läs vårt Know How-avsnitt om risker.

För att veta vilka lösningar som skulle kunna fungera för dig kan du också se vår guide "Är du säker på att du är säker".