Wat is de financiële schade van een cyberincident voor een bedrijf en waar moet er geïnvesteerd worden om de impact zo laag mogelijk te houden? Maar weinig bedrijven hebben een afdoend antwoord op die vraag.
‘Bedrijven denken dat het te ingewikkeld is om cybersecurity-risico’s te kwantificeren’, zegt Marko Buuri, principal risk management consultant bij F-Secure. ‘Dus investeren ze miljoenen in oplossingen voor alle mogelijke bedreigingen, voor het geval dat er iets gebeurt. Ze weten echter niet of ze investeren in de juiste oplossingen en welke oplossingen de meeste impact hebben. Als er dan toch een incident voorkomt, hadden zij dit vaak niet voorzien en zijn ze verrast.’
Met zijn nieuwe dienst Cyber Breach Impact Quantification (CBIQ) wil F-Secure de cybersecurity-risico’s van ondernemingen kwantificeren en een efficiëntere aanpak garanderen. Deze dienst brengt de werkelijk te verwachten kosten van een security-incident in kaart, gespecificeerd voor de organisatie zelf en gebaseerd op een nauwgezette meetmethode. Buuri: ‘CBIQ maakt de dreiging tast- en meetbaar zodat organisaties bewust kunnen kiezen voor de beste securityoplossingen om hun kernprocessen en bestanden veilig te stellen.’
Via workshops en interviews met belangrijke interne kennishouders analyseert F-Secure de operationele activiteiten van de organisatie. Ze letten onder meer op de kosten van forensisch onderzoek, juridische aansprakelijkheid, kosten van het herstellen van de interne en externe dienstverlening, communicatiekosten en de kosten van het stilvallen van de belangrijkste bedrijfsprocessen. Deze kosten worden vervolgens ingevoerd in een simulatietool die te verwachten uitkomsten van security-incidenten realtime berekent. De simulatie is ontwikkeld op basis van de ervaring van F-Secure met verschillende soorten cybersecurityincidenten en de impact daarvan op organisaties.
‘Daar waar andere risicoanalyses vage resultaten tonen die openstaan voor discussie, berekenen wij met CBIQ harde cijfers gebaseerd op onafhankelijke, te controleren input’, zegt Buuri. ‘Waarom zou je jouw security-beleid baseren op algemeenheden en gemiddelden, als je een onafhankelijk risicobeeld kunt ontwikkelen?’
Om te kunnen beoordelen moet u ingelogd zijn: