0
0
O risco pode ser difícil de medir. Como em grande parte da vida, o diabo está nos detalhes. E quando se trata de segurança cibernética, esse diabo complicado pode ser a diferença entre um número que apenas marca uma caixa em uma folha de requisitos e uma métrica que está no centro de um plano de gerenciamento de risco maduro.
mimado pela escolha
Resumido à sua forma mais básica, o risco é um conceito simples. Você pega a probabilidade de um evento ocorrer, multiplica pelo impacto de sua ocorrência e surge uma métrica de risco. O problema é que todos nós sabemos que a vida geralmente não é tão simples assim.
Para começar, há complicações, como o quão generalizado um evento pode ser – é uma possibilidade apenas em alguns dispositivos especializados ou em todos os endpoints de propriedade da organização? Em seguida, você entra nos vários tipos de impacto que um evento pode ter, com que rapidez o impacto pode ser remediado e assim por diante, e antes que você perceba, as equações parecem mais com mecânica quântica do que com matemática da terceira série.
Aí vem a questão de como você expressa a quantidade de risco; é uma escala de 1 a 100? Em dólares? Em cores, como nas classificações originais do DHS Threat Level? No fator “legal” relativo de vários anfíbios? Pode ser uma escolha difícil.
E é aí que reside um problema-chave: não que não haja como quantificar e expressar o risco, mas que existem muitas maneiras de atacar o problema. Não é que qualquer sistema seja necessariamente ruim (embora a escala dos anfíbios possa ser um pouco escorregadia), mas é difícil mapear de uma escala para outra e comparar as posturas de risco relativo das organizações em uma geografia ou agrupamento industrial. A dificuldade torna mais importante do que poderia ser ter cuidado na escolha de um método de quantificação de risco .
Escolhendo a Ferramenta Certa
Existem, em um sentido muito amplo, três tipos de ferramentas usadas para quantificar o risco. Existem estruturas ou metodologias que podem ser usadas para construir processos personalizados ou como base para produtos comerciais. Existem ferramentas que quantificam o risco como sua função principal, embora possam fornecer informações para outras ferramentas. E existem produtos ou serviços que quantificam o risco como parte de um conjunto maior de funcionalidades.
Algumas organizações descobrirão que a escolha da ferramenta de quantificação de risco é feita por meio da escolha de outra ferramenta ou serviço. Se o produto ou serviço maior, seja gerenciamento de risco ou seguro cibernético , incluir quantificação de risco, pode ser muito difícil justificar o pagamento de um sistema diferente – em muitos casos, um sistema redundante – para realizar a mesma análise.
Outras organizações descobrirão que a escolha da ferramenta de quantificação de risco é feita para elas devido a relações comerciais, por exemplo, contratos com uma entidade governamental que exige uma análise de risco específica como parte do processo de qualificação do contrato.
Para aquelas organizações com a liberdade (ou tarefa) de escolher uma ferramenta de quantificação de risco, a primeira pergunta a ser feita é por que a quantificação de risco é importante . Pode parecer uma pergunta com uma resposta óbvia, mas, na maioria dos casos, haverá uma necessidade primária conduzindo a decisão. E essa necessidade primária também deve orientar a escolha da ferramenta. Quantificar o risco organizacional não é simples nem barato, por isso é importante que a escolha da ferramenta se ajuste à necessidade da forma mais completa possível.
Existe uma maneira específica pela qual a organização quantifica o risco financeiro? Existem planos para futuras parcerias ou esforços de vendas que se beneficiariam de uma forma específica de medir ou expressar risco? É uma mudança no provedor de seguros nos cartões? Qualquer um deles — ou todos — poderia ter um impacto na ferramenta que melhor se adaptasse às necessidades da organização. Fazer perguntas a parceiros ou fornecedores em potencial pode abrir possibilidades para encontrar uma ferramenta que atenda à necessidade imediata e, ao mesmo tempo, posicionar a organização para atender também às necessidades futuras.
Quantificar o risco cibernético é um requisito para um número crescente de organizações. Adotar a abordagem certa para escolher a ferramenta para quantificar esse risco ajudará muito a tornar o processo o mais valioso e eficaz possível.
FONTE: DARKREADING