FAIR™️ risikomethode: quantifizierung und management von cyberrisiken

Die FAIR™ -Methode: So führen Sie eine probabilistische Cyberrisikoanalyse durch

Das Spektrum der Methoden zur Cyberrisikoanalyse ist ziemlich breit. Die FAIR™ -Analysemethode füllt zwei Lücken. Die NIST-Cybersicherheitsframework (CSF) ist beispielsweise weltweit ein sehr beliebter Ansatz. Dies gilt auch für die ISO 27005-Methode.

Diese richten sich jedoch in erster Linie an Cybersicherheitsexperten. Außerdem sind sie in der Regel nicht präskriptiv, sodass die Entscheidung, wie das Risiko gemessen werden soll, den Praktikern überlassen wird, die ihre Arbeit in der Regel auf einem von Natur aus subjektiven qualitativen Ansatz stützen. (siehe ISO27005, Abschnitt 8.3).

Die FAIR™ -Taxonomie ergänzt diese qualitativen Methoden, indem sie auf ihre Einschränkungen bei der Risikomessung eingeht.

Warum ist eine neue Methode zur Cyberrisikoanalyse erforderlich?

Alle Risikoanalysemethoden (unter anderem ISO 27005, NIST CSF, COSO, OCTAVE), die in den letzten dreißig Jahren auf dem Markt waren, sind qualitativ. Sie basieren auf „Expertenmeinungen und Erfahrungen“ im IT-Bereich, um Risiken anhand subjektiver Skalen einzustufen. Bei solchen Skalen wird das Risiko als „niedrig“ oder „hoch“ eingestuft, und die Ergebnisse der Analysen werden in den meisten Fällen farblich bestimmt Risikokarte (Heatmap), was von grün nach rot geht.

Natürlich bieten diese Methoden gute Praktiken und die notwendigen Cyber-Hygienegewohnheiten. Da sie jedoch auf einer subjektiven Risikoanalyse beruhen, bieten sie nicht allen Geschäftsfunktionen eine gemeinsame Arbeitsgrundlage.

Um die richtige Strategie für das Cyberrisikomanagement zu wählen, müssen alle Unternehmensbereiche dieselbe Terminologie und dasselbe Risikoverständnis verwenden. Risikoanalyse ist der Eckpfeiler der Cybersicherheitsstrategie eines Unternehmens: Wenn sie qualitativ bleibt, kann sie nicht vollständig nützlich sein.

Die FAIR™ -Methode bietet ein objektives und quantifizierbares Risikoanalysemodell, das zu einer mathematischen Risikoschätzung führt. Dies führt dann zur Entwicklung von Risikoszenarien, die miteinander verglichen werden können. Unter Berücksichtigung all dieser Faktoren verfügen Analysten und Experten für Informationssicherheit über alles, was sie benötigen, um wirksame Maßnahmen zur Vorbeugung von Cyberrisiken zu entwickeln.

Definition und Zielsetzung des FAIR™ -Standards

Der FAIR™ -Standard bietet eine Taxonomie und eine Methodik für die Cyberrisikoanalyse in allen Geschäftsfunktionen. Durch finanziell quantifizierte Risikoszenarien stellt das FAIR™ -Framework eine Verbindung zwischen Cybersicherheitsexperten, Geschäftsführern und der Geschäftsleitung her. Dieser Standard wurde entworfen, unterstützt und gefördert von FAIR™ Institut, eine professionelle gemeinnützige Organisation.

Dieser Ansatz zur Cyberrisikoanalyse sieht zunächst eine Taxonomie der verschiedenen Faktoren vor, die das Risiko ausmachen, eine Sammlung von Definitionen, die bestimmte Konzepte verdeutlichen: Risiko, Bedrohung, Gefahr, Vermögenswert, Kontrolle, Prüfung. Die FAIR™ -Methode erklärt die Zusammenhänge zwischen diesen Faktoren und gibt einem Unternehmen so Denkanstöße.

Das FAIR™ -Standard bietet auch eine Methode zur Aufschlüsselung von Risiken in verschiedene messbare Faktoren und zur Verwendung von Statistiken und Wahrscheinlichkeiten zur quantitativen Risikoabschätzung. Ziel ist es, komplexe Risiken zu analysieren, Schlüsseldaten für die Quantifizierung zu identifizieren und die Interdependenzen zwischen den Risikofaktoren zu verstehen.

Auf der Grundlage logischer, leicht zu erklärender, wiederholbarer und vertretbarer Szenarien können dann den Entscheidungsträgern Prognosen zukünftiger Verluste (in GBP, EUR, USD oder anderen Währungen) präsentiert werden.

Welche Fragen behandelt diese Methode?

Unternehmen auf der ganzen Welt vertrauen diesem Ansatz, weil er es dem Management ermöglicht, fundierte Entscheidungen über Cybersicherheit zu treffen. Der FAIR™ -Standard hilft somit bei der Beantwortung der folgenden Fragen:

• Wie oft könnte sich eine Katastrophe in einem bestimmten Zeitintervall ereignen?
• Wie viel wird diese Katastrophe kosten?
• Was sind die wichtigsten Cyberrisiken?
• Welche Vermögenswerte sind betroffen?
• Wie und wie viel Geld sollte man investieren, um diese Risiken zu reduzieren?
• Welche von zwei Kontrolllösungen würde das Risiko am effektivsten reduzieren?
• Welche Risiken erfordern den Abschluss einer Versicherung und für welche Deckungssumme?
• Welche Versicherungspolice passt am besten zu den Risiken des Unternehmens?

Darüber hinaus bietet Ihnen die FAIR™ -Analysemethode die Möglichkeit, einen effektiven Denkprozess über Ihr Cybersicherheitsbudget durchzuführen. Sie hilft Ihnen auch bei der Auswahl der Lösung zur Risikominderung, die die beste Kapitalrendite bietet. Dieser Ansatz erleichtert auch die Einhaltung gesetzlicher Vorschriften.

‍

‍