GRC 101: Vad är cyberrisk?

BY admin
|

cyberrisk är den snabbast växande företagsrisken och organisationsprioriteten idag. Enligt Global Risk Perception Survey 2019 rankades cyberrisk som en topp 5-prioritet av 79% av globala organisationer.

tillväxten av cyberrisker är till stor del knuten till den ökande användningen av teknik som värdedrivare. Strategiska initiativ-som outsourcing, användning av tredjepartsleverantörer, molnmigrering, mobilteknik och fjärråtkomst-används för att driva tillväxt och förbättra effektiviteten, men också öka exponeringen för cyberrisker. Cyberrisken har utvecklats från en teknikfråga till ett organisatoriskt problem. Cyberrisken är allas problem.

en sammansatt faktor här är under de senaste två decennierna, cyberbrott har vuxit exponentiellt. Enligt IC3, FBI: s rapporteringsmekanism för cyberbrott, uppgick monetära skador från rapporterad cyberbrott till $3.5 miljarder i 2019, medan Cybersecurity Ventures projicerar att de globala kostnaderna för cyberbrott kommer att fördubblas till $6 biljoner i 2021, upp från $3 biljoner i 2015.

Definition av cyberrisk

cyberrisk, eller cybersäkerhetsrisk, är den potentiella exponeringen för förlust eller skada som härrör från en organisations informations-eller kommunikationssystem. Cyberattacker, eller dataintrång, är två ofta rapporterade exempel på cyberrisk. Cybersäkerhetsrisken sträcker sig dock utöver skada och förstörelse av data eller monetär förlust och omfattar stöld av immateriella rättigheter, produktivitetsförluster och rykteskada.

exempel på cyberrisk

cyberrisk kan ställas inför någon organisation och kan komma inifrån organisationen (intern risk) eller från externa parter (extern risk). Både interna och externa risker kan vara skadliga eller oavsiktliga.

interna risker härrör från de anställdas handlingar inom organisationen. Ett exempel på skadlig, intern cyberrisk skulle vara System sabotage eller datastöld av en missnöjd anställd. Ett exempel på oavsiktlig intern risk skulle vara en anställd som misslyckades med att installera en säkerhetsuppdatering på föråldrad programvara.

externa risker härrör från utanför organisationen och dess intressenter. En extern, skadlig attack kan vara ett dataintrång av en tredje part, en denial-of-service-attack eller installation av ett virus. En oavsiktlig, extern attack härrör vanligtvis från partners eller tredje parter som är utanför men ändå relaterade till organisationen – en leverantör vars systemavbrott resulterar i en operativ störning för din egen organisation.

påverkan av cyberrisk

enligt Deloitte Advisory Cyber Risk Services är ” cyberrisk en fråga som finns i skärningspunkten mellan affärsrisk, reglering och teknik.”I deras 2019 Future of Cyber Survey,
Deloitte fann att effekterna av säkerhetsincidenter varierade från reala monetära kostnader, inklusive ekonomiska förluster på grund av driftsstörningar och regleringsböter, till immateriella kostnader, inklusive förlust av kundförtroende, anseende förlust eller en förändring i ledarskap.

Cybersäkerhetsrisker kan leda till både kvantitativa förluster och kvalitativa effekter. Realiserade kostnader kan inkludera förlorade intäkter på grund av störningar i produktivitet eller verksamhet, incidentminskning och saneringskostnader, juridiska avgifter eller till och med böter. Mindre påtagliga effekter av cybersäkerhetsincidenter, som är svåra att kvantifiera och i allmänhet tar längre tid att rätta till, inkluderar förlust av goodwill, minskat varumärke eller en försvagad marknadsposition.

hantera cyberrisk

cyberrisk har potential att påverka alla aspekter av en organisation, inklusive dess kunder, anställda, partners, leverantörer, tillgångar och rykte.

som sådan involverar ett effektivt cyberriskhanteringsprogram hela organisationen. Även om IT eller Infosec i slutändan kan äga riskhantering för cybersäkerhet, sprids cyberrisken över hela organisationen, vilket kräver ett integrerat tillvägagångssätt och samarbete mellan avdelningar för att effektivt hantera och mildra exponering.

Nedan följer 4 viktiga steg som din organisation kan vidta för att implementera en robust strategi för cyberriskhantering.

  1. förstå din riskprofil: förstå din riskprofil och potentiell exponering kräver en företagsövergripande hotbedömning.
    • identifiera kritiska företagsrisker för att bestämma applikationer, system, databaser och processer som är föremål för cyberrisk. Tänk på utbudet av externa och interna hot, från oavsiktligt användarfel till tredje parts tillgång till skadliga attacker.
    • genomföra riskbedömningar med alla intressenter för att bedöma sannolikheten och den potentiella effekten av cyberriskexponering, inklusive tvärdelade och sekundära effekter och teknikberoende. Tänk på exponering från tredje part, eftersom de i allt högre grad har blivit vektorer för cyberincidenter och risken för den expanderande teknikens omkrets på grund av krav på arbete hemifrån.
    • kvantifiera risker inklusive potentiella finansiella, operativa, anseende och efterlevnadseffekter av en cyberriskincident. Ett ramverk för riskbedömning kan bidra till en mer holistisk rangordning av hot.
  2. sätt en fast strategi: Upprätta ett företagsomfattande strategiskt ramverk för cyberriskhantering
    • prioritera risker genom att använda ett gemensamt ramverk för riskmätning och rapporteringssystem för att effektivt prioritera risker i hela organisationen och möjliggöra informerad resursallokering.
    • överväg branschspecifika riskstandarder och införliva eventuella specifika efterlevnadskrav i din praxis för cyberriskhantering.
    • Ställ in och kommunicera en företagsomfattande IT-och cyberriskhanteringsstrategi. Teknikinfrastruktur och applikationsanvändning är avgörande i alla organisationer. Därför kan cyberriskexponering förekomma i vilken division som helst, vilket gör det till en organisatorisk prioritet snarare än en IT.
  3. investera i infrastruktur för Cyberriskhantering
    • utvärdera systemkrav för att förstå var organisatoriska cyberhot har sitt ursprung och ge en vägbeskrivning till de typer av system som krävs. En distribuerad, molnbaserad organisation kommer att ha olika behov från en fysisk tillgångsintensiv organisation. Tänk på hur ditt företag för närvarande arbetar för att säkerställa att en GRC-plattform kommer att tillgodose föränderliga behov.
    • potentiella investeringar i GRC-programvara eller andra verktyg för cyberriskhantering bör också överväga riskrapportering och incidenthanteringskrav, arbetsflöden, användarvänlighet, flexibilitet och framtida expansionskapacitet.
  4. upprätta en dynamisk process för hantering av cyberrisker
    • upprätta robust tillsyn genom att upprätthålla en uppdaterad inventering av potentiella hot och dynamisk kvantifiering av de potentiella effekterna och begränsningskostnaderna för cyberincidenter.
    • kommunicera med tredje part för att säkerställa att deras säkerhetsprotokoll överensstämmer med organisatoriska standarder och praxis.
    • investera i utbildning – med snabb utveckling av teknik och relaterade cybersäkerhetsrisker är cyberriskhantering inte en statisk, kryssa i rutan lösning. Organisationer kan spendera stora summor på toppmodern säkerhetsinfrastruktur, men ett verkligt effektivt cyberriskhanteringsprogram kräver effektiv intressentutbildning.

Logicgates It-Riskhanteringslösning

när omfattningen och omfattningen av cyberrisken exploderar, hur kan din organisation exakt bedöma, kvantifiera, hantera och mildra cybersäkerhetsrisken? Cybersäkerhetsriskhantering kräver en robust plattform för att möjliggöra företagsövergripande engagemang och effektiv riskhantering.

att skapa en kultur av cyberriskmedvetenhet är lättare med ett anpassat och flexibelt gränssnitt. Logicgates IT Security Risk Management Software tillhandahåller de delade verktyg du behöver för att kommunicera ditt företags riskramverk, skydda dina informationstillgångar och följa branschstandarder, så att du kan behålla din organisations rykte och skydda ditt företag, anställda, kunder och kunder.