Dokud kybernetická rizika nevyjádříte v korunách, nevíte, kolik vás skutečně stojí

V tomto příspěvku se dozvíte, proč byste měli kybernetická rizika kvantifikovat. A když říkám kvantifikovat, tak tím myslím skutečně kvantifikovat, ne jen mechanicky násobit ordinální hodnoty mezi sebou.

Když totiž u konkrétního typu incidentu odhadnete pravděpodobnost výskytu a finanční dopad a celé riziko vyjádříte v korunách, začnete konečně mluvit jazykem, kterému management rozumí nejlépe.

Jestliže chcete kybernetická rizika řídit a chcete je řídit skutečně efektivně, tak zde jsou hlavní důvody, proč byste to tak měli začít dělat.

• Protože váš rozpočet na kybernetickou bezpečnost není neomezený. Bez čísla nepoznáte, jestli kupujete pocit bezpečí, nebo skutečné snížení očekávané škody. Kvantifikace vám dává základní metriku: kolik rizika kupujete za korunu.
• Protože všechna opatření se nedají zavést najednou. Když nevíte, které riziko je nejdražší a nejpravděpodobnější, řadíte pořadí podle intuice, dojmu nebo hlasitosti stakeholderů. A i když zavádíte balík opatření, bez čísel nepoznáte, co má jít první, protože právě to má největší efekt. Kvantifikace dává pořadník, který je obhajitelný.
• Protože všechna opatření nejsou stejně účinná. Některé kontrolní mechanismy snižují pravděpodobnost, jiné dopad, jiné jen zlepšují detekci, ale ne všechny snižují očekávanou ztrátu (EV) tak, jak si myslíte. Bez měření účinnosti je to často jen placebo v drahém obalu.
• Protože potřebujete umět obhájit rozhodnutí a nést odpovědnost. „Dali jsme do bezpečnosti X“ nic neříká. „Snížili jsme očekávanou roční ztrátu z Y na Z“ je už argument, který se dá porovnat s jinými investicemi.
• Protože potřebujete vědět, kdy přestat a kdy naopak přitlačit. Dokud nemáte zavedenou základní sadu bezpečnostních opatření, otázka „neinvestujeme už moc“ obvykle nepřijde. Jakmile ale základ existuje, začnou přicházet dražší a náročnější kroky. Kvantifikace vám řekne, kdy už další miliony nepřinášejí odpovídající snížení ztrát, a kdy je naopak vaše současná úroveň ochrany pořád nedostatečná.
• Protože potřebujete mluvit stejným jazykem jako vedení a finance. Dokud se bavíte o „vysokém“ a „středním“ riziku, CFO má na stole jiné „vysoké priority“. Jakmile ale přijdete s čísly typu „tento balík opatření sníží očekávanou roční ztrátu o 3 miliony, stojí 1 milion a návratnost je v horizontu dvou let“, jste v normální investiční debatě.
• Protože potřebujete vidět trend, ne jen jednotlivá rozhodnutí. Když máte rizika vyčíslená, můžete sledovat, jestli se vaše očekávané ztráty skutečně snižují. A můžete porovnat model s realitou: jak drahé byly skutečné incidenty oproti tomu, co jste si mysleli. Bez čísel je to jen pocit, že to děláme lépe.
• Protože bez čísel neumíte smysluplně nakupovat pojištění a nastavovat SLA. Pojišťovně můžete poslat checklist a doufat, že to nějak nacení. Nebo můžete vyčíslit, jak velké ztráty hrozí, jaké limity dávají smysl a kdy je pojistné vyšší než zbytkové riziko. Stejně tak u smluv s dodavateli , kde bez čísel jen hádáte, jestli je smluvní limit odpovědnosti dostatečný.

Kvantifikace neznamená, že najednou znáte škodu na korunu přesně. Znamená to, že strukturovaně odhadujete a umíte přiznat nejistotu, třeba intervalem nebo scénáři. Místo pocitových barev dostanete kontrolovaný, opakovatelný odhad, se kterým můžete dál pracovat, a který je možné zpětně porovnat s realitou.

Závěr:

A to je jako vše? Ano, v principu je to tak jednoduché. Ale jestli máte peněz nazbyt a nepotřebujete snižovat náklady, tak kvantifikace kybernetických rizik pro vás bude jen nepříjemná disciplína. A pokud nemáte ani základní odolnost, tak v takové situaci vás žádná sofistikovaná kvantifikace také nespasí. Nejdřív je potřeba zavést základní sadu bezpečnostních opatření, která dávají smysl téměř vždy.

Pokud se vám líbí naše články, tak zvažte podporu naši práce – Naskenujte QR kód a přispějte libovolnou částkou.

Děkujeme!

Štítky: CRQ