GRC 101: Hvad er Cyberrisiko?

BY admin
|

Cyberrisiko er den hurtigst voksende virksomhedsrisiko og organisatoriske prioritet i dag. Ifølge 2019 Global Risk Perception Survey blev cyberrisiko rangeret som en top 5-prioritet af 79% af de globale organisationer.

væksten i cyberrisiko er i vid udstrækning bundet til den stigende brug af teknologi som værdidriver. Strategiske initiativer-såsom outsourcing, brug af tredjepartsleverandører, cloud migration, mobile teknologier og fjernadgang—bruges til at drive vækst og forbedre effektiviteten, men også øge cyberrisikoeksponeringen. Cyberrisiko har udviklet sig fra et teknologiproblem til et organisatorisk problem. Kort sagt, cyberrisiko er alles problem.

en sammensat faktor her er i løbet af de sidste to årtier, cyberkriminalitet er vokset eksponentielt. Ifølge IC3, FBIs rapporteringsmekanisme for cyberkriminalitet, udgjorde monetære skader fra rapporteret cyberkriminalitet $ 3.5 milliarder i 2019, mens Cybersecurity Ventures projicerer, at de globale omkostninger ved cyberkriminalitet vil fordoble til $6 billioner i 2021, op fra $3 billioner i 2015.

Definition af Cyberrisiko

Cyberrisiko eller cybersikkerhedsrisiko er den potentielle eksponering for tab eller skade, der stammer fra en organisations informations-eller kommunikationssystemer. Cyberangreb eller databrud er to ofte rapporterede eksempler på cyberrisiko. Cybersikkerhedsrisiko strækker sig imidlertid ud over skade og ødelæggelse af data eller monetært tab og omfatter tyveri af intellektuel ejendomsret, produktivitetstab og omdømmeskader.

eksempler på Cyberrisiko

Cyberrisiko kan stå over for enhver organisation og kan komme fra organisationen (intern risiko) eller fra eksterne parter (ekstern risiko). Både interne og eksterne risici kan være ondsindede eller utilsigtede.

interne risici stammer fra medarbejdernes handlinger i organisationen. Et eksempel på ondsindet, intern cyberrisiko ville være systemsabotage eller datatyveri af en utilfreds medarbejder. Et eksempel på utilsigtet, intern risiko ville være en medarbejder, der ikke kunne installere en sikkerhedsopdatering på forældede programmer.

eksterne risici stammer fra uden for organisationen og dens interessenter. Et eksternt, ondsindet angreb kan være et databrud fra en tredjepart, et denial-of-service-angreb eller installation af en virus. Et utilsigtet, eksternt angreb stammer normalt fra partnere eller tredjeparter, der endnu ikke er relateret til organisationen – en leverandør, hvis systemafbrydelse resulterer i en operationel forstyrrelse af din egen organisation.

virkningen af Cyberrisiko

ifølge Deloitte Advisory Cyber Risk Services er “Cyberrisiko et problem, der eksisterer i krydset mellem forretningsrisiko, regulering og teknologi.”I deres 2019 Future of Cyber Survey,
Deloitte fandt ud af, at virkningen af sikkerhedshændelser varierede fra reelle monetære omkostninger, herunder økonomiske tab på grund af driftsforstyrrelser og lovgivningsmæssige bøder, til immaterielle omkostninger, herunder tab af kundetillid, omdømmetab eller en ændring i lederskab.

cybersikkerhedsrisici kan resultere i både kvantitativt tab og kvalitativ indvirkning. Realiserede omkostninger kan omfatte mistede indtægter på grund af forstyrrelser i produktivitet eller drift, udgifter til afbødning af hændelser og afhjælpning, advokatsalærer eller endda bøder. Mindre håndgribelige virkninger af cybersikkerhedshændelser, som er vanskelige at kvantificere og generelt tager længere tid at rette op på, inkluderer tab af velvilje, nedsat brand omdømme, eller en svækket markedsposition.

håndtering af Cyberrisiko

Cyberrisiko har potentialet til at påvirke alle aspekter af en organisation, herunder dens kunder, medarbejdere, partnere, leverandører, aktiver og omdømme.

som sådan involverer et effektivt cyberrisikostyringsprogram hele organisationen. Selvom IT eller Infosec i sidste ende kan eje risikostyring for Cybersikkerhed, er cyberrisiko spredt i hele organisationen, hvilket kræver en integreret tilgang og tværdivisionelt samarbejde for effektivt at styre og afbøde eksponering.

nedenfor er 4 vigtige trin, som din organisation kan tage for at implementere en robust cyberrisikostyringsstrategi.

  1. forstå din risikoprofil: at forstå din risikoprofil og potentielle eksponering kræver en trusselsvurdering i hele virksomheden.
    • Identificer kritiske virksomhedsrisici for at bestemme de applikationer, systemer, databaser og processer, der er underlagt cyberrisiko. Overvej en række eksterne og interne trusler, fra utilsigtet brugerfejl til tredjeparts adgang til ondsindede angreb.
    • Foretag risikovurderinger med alle interessenter for at vurdere sandsynligheden for og den potentielle virkning af cyberrisikoeksponering, herunder tværgående og sekundære effekter og teknologiske afhængigheder. Overvej eksponering fra tredjepart, da de i stigende grad er blevet vektorer for cyberhændelser, og risikoen ved den ekspanderende teknologiperimeter på grund af krav til arbejde hjemmefra.
    • Kvantificer risici, herunder den potentielle økonomiske, operationelle, omdømme-og overholdelseseffekt af en cyberrisikohændelse. En ramme for risikoscoring kan hjælpe med at give en mere holistisk rangordning af trusler.
  2. sæt en Firmabred strategi: Etablere en strategisk ramme for cyberrisikostyring
    • Prioriter risici ved at anvende en ramme for delt risikomåling og rapporteringssystemer for effektivt at prioritere risici på tværs af organisationen og muliggøre informeret ressourceallokering.
    • overvej branchespecifikke risikostandarder, og indarbejd eventuelle specifikke overholdelseskrav i din praksis for cyberrisikostyring.
    • Opsæt og kommuniker en IT-og cyberrisikostyringsstrategi for hele virksomheden. Teknologiinfrastruktur og anvendelse af applikationer er kritisk i alle organisationer. Derfor kan cyberrisikoeksponering forekomme i enhver division, hvilket gør det til en organisatorisk prioritet snarere end en IT.
  3. Invester i Cyberrisikostyringsinfrastruktur
    • Vurder systemkrav for at forstå, hvor organisatoriske cybertrusler stammer fra, og give en vejledning til de krævede typer systemer. En distribueret, skybaseret organisation vil have forskellige behov fra en fysisk aktivintensiv organisation. Overvej, hvordan din virksomhed i øjeblikket fungerer for at sikre, at en GRC-platform imødekommer skiftende behov.
    • potentielle investeringer i GRC-programmer eller andre cyberrisikostyringsværktøjer bør også tage højde for krav til rapportering af risici og hændelsesstyring, arbejdsgange, brugervenlighed, fleksibilitet og fremtidig udvidelsesevne.
  4. etablere en dynamisk Cyberrisikostyringsproces
    • etablere robust tilsyn ved at opretholde en opdateret oversigt over potentielle trusler og dynamisk kvantificering af de potentielle konsekvenser og afbødningsomkostninger ved cyberhændelser.
    • Kommuniker med tredjeparter for at sikre, at deres sikkerhedsprotokoller stemmer overens med organisatoriske standarder og praksis.
    • Invester i træning – med hurtig udvikling af teknologi og relaterede cybersikkerhedsrisici er cyberrisikostyring ikke en statisk løsning. Organisationer kan bruge store summer på Avanceret sikkerhedsinfrastruktur, men et virkelig effektivt cyberrisikostyringsprogram kræver effektiv interessentuddannelse.

Logicgates it-Risikostyringsløsning

hvordan kan din organisation nøjagtigt vurdere, kvantificere, styre og mindske cybersikkerhedsrisikoen, når cyberrisikoen eksploderer? Cybersecurity risk management kræver en robust platform til at muliggøre virksomhedsdækkende engagement og effektiv risikostyring.

det er lettere at etablere en kultur med cyberrisikobevidsthed med en tilpasset og fleksibel grænseflade. Logicgates it-Sikkerhedsrisikostyringsprogram indeholder de fælles værktøjer, du har brug for til at kommunikere din virksomheds risikoramme, beskytte dine informationsaktiver og overholde branchestandarder, så du kan bevare din organisations omdømme og beskytte din virksomhed, medarbejdere, kunder og kunder.