CISOs und Risikofachleute haben oft Schwierigkeiten, dem Vorstand ihre Anforderungen an das Sicherheitsbudget darzulegen. Der Einsatz von Cyber Risk Quantification liefert die datengestützten Kennzahlen, die erforderlich sind, um Entscheidungsträger für die Sicherheitsstrategie zu gewinnen und Ressourcen effektiv zuzuteilen.
In den letzten Jahren ist das Bewusstsein für Cyber-Risiken unter Vorstandsmitgliedern gewachsen. In einer Umfrage, die im 2023 Director's Handbook on Cyber-Risk Oversight veröffentlicht wurde, gaben 83 % der Vorstände an, dass sie Cyber-Risiken besser verstehen als noch drei Jahre zuvor - eine gute Nachricht für CISOs und Sicherheitsrisikomanager. Die Quantifizierung von Cyber-Risiken unterstützt Geschäftsentscheidungen, indem sie objektive, messbare Daten liefert, die zur Rechtfertigung eines robusten InfoSec-Budgets genutzt werden können.
Der CISO beauftragte C-Risk mit der Entwicklung und Verwaltung eines Programms zur Quantifizierung von Cyberrisiken (Cyber Risk Quantification, CRQ), das regelmäßig datengestützte Erkenntnisse liefern sollte, um das Budget für Informationssicherheit gegenüber dem Vorstand zu begründen und zu verteidigen und die Performance der Kontrollen zu bewerten.
Fallstudie: Der CISO eines großen Konsumgüterunternehmens hatte die Aufgabe, dem Vorstand ein Budget für Informationssicherheit zu begründen und die Sicherheitskontrollen zu optimieren.
Unsere Analysten identifizierten zunächst die zentralen digitalen Vermögenswerte des Unternehmens, darunter geistiges Eigentum und sensible Kundendaten aus dem E-Commerce. Dann wurden die wichtigsten Cyber-Risiken sorgfältig erfasst, quantifiziert und analysiert. Die Szenarien basierten auf verfügbaren Branchendaten und internen Daten sowie auf der C-Risk-Wissensbibliothek mit quantifizierbaren Risikoszenarien.
Die CRQ-Analyse war ein wesentlicher Bestandteil der anschließenden Kontrollbeurteilung. Wir bewerteten verschiedene Kontrollgruppen, um herauszufinden, welche Kontrollen die finanziellen Auswirkungen der häufigsten und kostspieligsten Cyber-Vorfälle verringern würden. Dabei wurden Schlüsselkontrollen wie die Verwaltung von Zugriffen, Datenverschlüsselung und Schulungen zur Risikosensibilisierung ermittelt.
Die Ergebnisse dieses ersten "Deep Dives" lieferten dem CISO die Geschäftskennzahlen, die er benötigte, um dem Vorstand ein überzeugendes Plädoyer für eine Aufstockung des InfoSec-Budgets zu liefern. Weitere CRQ-Bewertungen halfen dabei, Cybersicherheitsinitiativen wie die Versicherung gegen Cyberrisiken auf die Unternehmensziele abzustimmen.
CRQ definiert Ihre Risikolage, indem es die häufigsten und kostspieligsten Risiken für Ihre zentralen digitalen Ressourcen identifiziert und quantifiziert, so dass Sie Ihre Ausgaben für Kontrollen und Tools priorisieren können, um die finanziellen Auswirkungen von Cyber-Vorfällen auf Ihr Unternehmen zu mindern.
Die quantifizierten Ergebnisse einer CRQ-Analyse können zur Durchführung einer Bewertung der Kontrollmöglichkeiten verwendet werden. Gewinnen Sie Einblicke in die wirksamsten Maßnahmen zur Verringerung des Gesamtrisikos, zur Verbesserung der Compliance und zur Stärkung der Ausfallsicherheit.
Führen Sie eine Kosten-Nutzen-Analyse verschiedener Optionen für den Einsatz von Kontrollen durch, die in einer Bewertung der Kontrollfähigkeit ermittelt wurden. Bestimmen Sie, welche Kontrollen auf der Grundlage der finanziellen Auswirkungen eines Schadensereignisses im Vergleich zu den Implementierungskosten Vorrang haben sollen.
CRQ gibt Ihnen die Möglichkeit, Empfehlungen für das InfoSec-Budget mit quantifizierten Erkenntnissen zu vergleichen, zu bewerten und zu verteidigen.
Ein CRQ Executive Insight Bericht liefert die Geschäftskennzahlen, die Sie benötigen, um Ihr InfoSec-Budget vor dem Vorstand zu begründen.
Regelmäßige CRQ-Bewertungen können genutzt werden, um Trends in der Sicherheitsperformance zu erfassen und Geschäftsbereiche zu vergleichen.
Verschaffen Sie sich einen Überblick darüber, wo die Kontrollen weniger robust sind, um Schwachstellen frühzeitig zu identifizieren. Verfolgen und messen Sie die Hauptrisiken, die sich negativ auf Ihr Unternehmen auswirken.
Identifizieren Sie mit CRQ und MITRE ATT&CK die wahrscheinlichsten Angriffsvektoren, um die besten Kontrollen zu implementieren.
Sie sollten ihre risikoaverse Unternehmensführung unter Beweis stellen und im Falle eines wesentlichen Cybervorfalls frühzeitig Informationen offenlegen.
Wählen Sie eine Cyber-Risikoversicherung, die Ihrer Risikobereitschaft und Ihren wichtigsten Risikoszenarien entspricht.
Cyber Risk Quantification ist ein risikobasierter Ansatz für Cyber- und Technologierisiken. Mithilfe von CRQ können Informationssicherheits- und IT-Teams ihre Bemühungen auf eine eingehende Kontrollbewertung abstimmen. Es liefert CISOs und anderen Führungskräften die Geschäftskennzahlen, um dem Vorstand datengestützte Berichte zu liefern und Investitionen zu priorisieren.
Wir freuen uns von Ihnen zu hören.
Monte Carlo ist eine mathematische Methode zur Analyse von Daten und zur Vorhersage einer Verteilung oder eines Spektrums von wahrscheinlichen Ergebnissen. Monte-Carlo-Simulationen werden in einer FAIR-basierten CRQ-Analyse verwendet, um eine Bandbreite des Verlustrisikos in finanzieller Hinsicht zu berechnen.
NIST SP 800-53 besteht aus 20 verschiedenen Kontrollgruppen. Eine Kontrollgruppe ist eine Sammlung von zusammenhängenden Sicherheitskontrollen. Dazu gehören Kontrollgruppen wie physische Zugangskontrollen, Reaktion auf Zwischenfälle, Prüfung und Rechenschaftspflicht sowie Risikobewertung. Innerhalb jeder Kontrollgruppe gibt es mehrere spezifische Kontrollen. Insgesamt gibt es 1.189 Einzelkontrollen.
Die Cyber-Risikoversicherung ist eine von vielen Möglichkeiten, die finanziellen Auswirkungen eines größeren Cyber-Sicherheitsvorfalls abzumildern.
Die Frage lässt sich nur im Rahmen eines CRQ-Ansatzes in Kombination mit einer Bewertung der Cyber-Risikoversicherung genauer beantworten. Bei einer Versicherungsbewertung werden die Ergebnisse Ihrer CRQ-Top-Risikoanalyse, die Selbstbeteiligungsbeträge der Versicherung, die Deckung nach Art des Schadens und Ihre Gesamtdeckung berücksichtigt.
C-Risk ist ein renommierter Experte für die Quantifizierung von Cyber-Risiken mit der FAIR™-Methode. Wir bieten CRQ-Beratung, Verwaltungsdienste und Schulungen an.
