banner large

Bagaimana mengukur risiko dunia maya: Dasar-dasar kuantifikasi risiko dunia maya

Comment
X
Share

Kami sangat antusias untuk menghadirkan Transform 2022 kembali secara langsung pada 19 Juli dan 20 – 28 Juli secara virtual. Bergabunglah dengan AI dan pemimpin data untuk pembicaraan yang berwawasan luas dan peluang jaringan yang menarik. Daftar hari ini!


Organisasi saat ini mengandalkan metrik lebih dari sebelumnya. Namun dalam hal metrik, hanya sedikit yang sama pentingnya dengan risiko dunia maya. Memiliki kemampuan untuk mengukur risiko dunia maya sangat penting untuk melakukan investasi keamanan yang terinformasi, dan menerapkan kontrol yang diperlukan untuk meminimalkan risiko pelanggaran data.

Kegagalan untuk memahami tingkat risiko di lingkungan menyebabkan kerentanan berbahaya yang dapat menyebabkan jutaan kerusakan.

Meskipun demikian, sebagian besar organisasi masih kurang memahami eksposur risiko mereka. Penelitian menunjukkan bahwa hanya 50% pemimpin TI dan 38% pengambil keputusan bisnis percaya bahwa C-suite sepenuhnya memahami risiko dunia maya.

Ini juga bukan karena kurangnya usaha, dengan Gartner melaporkan bahwa para pemimpin keamanan dan manajemen risiko semakin berinvestasi dalam kuantifikasi risiko dunia maya untuk dukungan keputusan perusahaan, meskipun hanya 36% yang melaporkan hasil nyata.

Sampai tingkat tertentu, tantangan untuk mengukur risiko dunia maya bersifat subjektif, dengan organisasi mengidentifikasi tingkat risiko yang berbeda tergantung pada bagaimana mereka mendefinisikan risiko dunia maya, serta metodologi dan sinyal data yang mereka gunakan untuk mengukurnya.

Tapi apa sebenarnya risiko dunia maya itu?

Secara sederhana risiko siber adalah tingkat risiko yang ditimbulkan pada suatu organisasi jika terjadi serangan siber.

Di bawah model risiko kuantitatif Analisis Risiko Informasi yang Adil (FAIR), manajemen risiko didefinisikan sebagai “kombinasi personel, kebijakan, proses, dan teknologi yang memungkinkan organisasi untuk mencapai dan mempertahankan tingkat eksposur kerugian yang dapat diterima secara efektif.”

Organisasi perlu memiliki kemampuan untuk mengukur risiko ini tidak hanya untuk memastikan keamanan lingkungan mereka secara keseluruhan, tetapi juga untuk memastikan mereka tidak mengeluarkan biaya berlebihan untuk pengendalian yang tidak efektif.

James Turgal, VP of Cyber ​​risk, Strategy and Board Relations di MXDR provider Optiv, menyoroti bahwa “kuantifikasi risiko cyber harus menjadi bagian penting dari semua tindakan perusahaan untuk memahami dan mengukur risiko yang ditimbulkan pada perusahaan tersebut jika terjadi serangan cyber. ”

Turgal mencatat bahwa perusahaan dapat menggunakan penilaian siber yang ditentukan oleh entitas seperti NIST untuk menentukan aset teknologi yang paling penting, memastikan apa dampak pelanggaran data terhadap bisnis, memahami kemungkinan eksploitasi, dan memastikan tingkat risiko siber yang dapat diterima.

Kerangka Kerja untuk Mengukur Risiko Cyber

Ketika datang untuk mengukur risiko dunia maya, ada banyak kerangka kerja dan metodologi yang dapat dipilih perusahaan termasuk Analisis Risiko Informasi yang Adil (FAIR), Kerangka Kerja Keamanan Siber NIST (CSF) dan Kerangka Kerja Manajemen Risiko (RMF).

Dari kerangka kerja yang tersedia, banyak yang menganggap FAIR sebagai yang paling komprehensif untuk menyediakan seperangkat standar dan praktik terbaik untuk membantu mengukur dan mengurangi risiko informasi di seluruh lingkungan perusahaan.

Tidak seperti kerangka kerja lain, seperti yang ditawarkan oleh NIST , ISO, OCTAVE, dan ISACA, FAIR memberi organisasi lebih banyak panduan tentang proses mitigasi risiko, daripada membiarkan mereka menentukan pendekatan mereka sendiri dan mengisi celah keamanan.

Kerangka kerja lain seperti CSF memberikan ruang lingkup yang lebih terbatas untuk mengidentifikasi toleransi risiko perusahaan, membantu para pemimpin keamanan untuk menentukan peran, tanggung jawab, dan proses untuk meminimalkan risiko di seluruh lingkungan.

Misalnya, ini termasuk cara menerapkan kontrol untuk mengelola identitas dan kredensial, akses jarak jauh, mengamankan data dalam tranzit, mengurangi kemungkinan kebocoran data, dan mendeteksi kode berbahaya.

Demikian pula, RMF menyediakan kerangka kerja tujuh langkah sederhana untuk mengamankan sistem dan teknologi TI modern dan lama.

Langkah-langkah inti RMF termasuk mempersiapkan kegiatan penting untuk melengkapi organisasi dalam mengelola risiko keamanan dan privasi, mengkategorikan sistem dan informasi yang disimpan, diproses atau ditransmisikan (berdasarkan analisis dampak), menerapkan kontrol NIST SP 800-53, dan mendokumentasikan kontrol jangka panjang. .

Bagaimana dengan organisasi yang berjuang untuk mengukur risiko dunia maya?

Dengan begitu banyak kerangka kerja manajemen risiko untuk dipilih, banyak organisasi mencari kalkulator risiko untuk membantu mengidentifikasi paparan mereka terhadap aktor ancaman.

Baru-baru ini, penyedia kuantifikasi risiko Safe Security, meluncurkan kalkulator risiko gratis yang disebut Safe CRQ Calendar yang menggunakan model penelitian prediktifnya sendiri untuk menganalisis industri suatu organisasi, dan menentukan kemungkinan pelanggaran selama 12 bulan ke depan.

Safe CRQ Calculator dari Safe Security mempercepat proses kuantifikasi risiko dengan secara cepat menyoroti bahwa paparan serangan cyber industri organisasi adalah, tingkat serangan ransomware yang terjadi di industri, dan potensi dampak finansial dari pelanggaran.

Sebagai Senior Vice President AI dan Cyber ​​Insurance di Safe Security, Pankaj Goyal menjelaskan, Safe CRQ Calendar memberikan solusi yang dapat digunakan perusahaan untuk mengubah sinyal cyber eksternal dan internal menjadi model matematis, yang dapat menerjemahkan perhitungan risiko teknis, ke dalam bentuk nyata. nilai finansial dari risiko bisnis.

Bagi Goyal, kesuksesan “terletak pada kedalaman dan kualitas sinyal. Sinyal harus real time dan komprehensif di seluruh permukaan serangan. Kami mengumpulkan sinyal di seluruh permukaan serangan (orang, proses, teknologi) melalui API secara otomatis,” kata Goyal.

Di banyak organisasi, penghitungan yang ditawarkan oleh kalkulator risiko bawaan juga bisa lebih akurat, terutama jika didasarkan pada rangkaian sinyal data yang lebih luas.

Misalnya, kalkulator CRQ menggabungkan data yang tersedia untuk umum dari sumber termasuk pengajuan SEC, laporan peraturan, laporan asuransi, dan laporan anggaran tentang lebih dari 1.500 insiden selama 10 tahun terakhir, untuk mengembangkan model risikonya. Ini memberikan rangkaian sinyal data yang lebih luas daripada organisasi yang menggunakan model risiko yang kurang dioptimalkan.

Perubahan peran CISO dalam mengelola risiko siber

Untuk CISO, peningkatan komponen pengelolaan risiko di perusahaan adalah tanggung jawab yang berkembang untuk memastikan keberhasilan bisnis organisasi secara keseluruhan.

Faktanya, Gartner memperkirakan bahwa setidaknya 50% eksekutif tingkat C akan memiliki persyaratan kinerja terkait dengan risiko keamanan siber yang dimasukkan ke dalam kontrak kerja mereka pada tahun 2026. Secara alami, perubahan ini akan meminta CISO untuk memikirkan kembali bagaimana mereka mengelola risiko dunia maya.

Sebagai direktur riset di Gartner, Sam Olyaei menjelaskan, “Peran CISO harus berkembang dari menjadi orang yang bertanggung jawab “de facto” untuk menangani risiko dunia maya, menjadi bertanggung jawab untuk memastikan para pemimpin bisnis memiliki kemampuan dan pengetahuan yang diperlukan untuk membuat informasi, berkualitas tinggi keputusan risiko informasi.”

Dalam hal ini, peran CISO dalam mengelola risiko siber tidak akan mengambil fokus “sempit” dalam memeriksa risiko siber, tetapi berperan aktif dalam membekali pemangku kepentingan utama dan pengambil keputusan dengan informasi yang mereka butuhkan untuk menyeimbangkan pengelolaan risiko keamanan siber di samping pemenuhan tujuan bisnis utama.

Misi VentureBeat adalah menjadi alun-alun kota digital bagi para pengambil keputusan teknis untuk memperoleh pengetahuan tentang teknologi dan transaksi perusahaan yang transformatif. Pelajari lebih lanjut tentang keanggotaan.

Leave a Reply

Your email address will not be published.