banner large

Saat perusahaan menghitung risiko dunia maya, data yang tepat membuat perbedaan besar

Comment
X
Share

Kami sangat antusias untuk menghadirkan Transform 2022 kembali secara langsung pada 19 Juli dan 20 – 28 Juli secara virtual. Bergabunglah dengan AI dan pemimpin data untuk pembicaraan yang berwawasan luas dan peluang jaringan yang menarik. Daftar hari ini!


Aturan yang lebih kuat dari Komisi Sekuritas dan Bursa AS yang diusulkan untuk melaporkan serangan siber akan memiliki konsekuensi di luar peningkatan pengungkapan serangan kepada publik. Dengan mensyaratkan tidak hanya pelaporan insiden yang cepat, tetapi juga pengungkapan kebijakan siber dan manajemen risiko, peraturan tersebut pada akhirnya akan membawa akuntabilitas yang lebih besar untuk keamanan siber ke tingkat tertinggi kepemimpinan perusahaan.

Ini berarti bahwa dewan dan eksekutif perlu meningkatkan pemahaman mereka tentang keamanan siber, tidak hanya dari sudut pandang teknologi, tetapi juga dari sudut pandang risiko dan eksposur bisnis. CFO, CMO, dan C-suite serta dewan lainnya ingin dan perlu mengetahui eksposur finansial apa yang dihadapi bisnis dari pelanggaran data, dan seberapa besar kemungkinan pelanggaran itu akan terjadi. Ini adalah satu-satunya cara mereka akan dapat mengembangkan kebijakan dan rencana dunia maya dan bereaksi dengan baik terhadap peraturan yang diusulkan.

Menghitung risiko dunia maya

Oleh karena itu, perusahaan harus dapat menghitung dan memberikan nilai dolar pada eksposur mereka terhadap risiko dunia maya. Ini adalah titik awal untuk kemampuan membuat keputusan keamanan siber tidak dalam ruang hampa, tetapi sebagai bagian dari keputusan bisnis secara keseluruhan. Untuk mengukur eksposur keamanan siber secara akurat, perusahaan perlu memahami apa ancamannya dan data serta aset bisnis mana yang berisiko, dan kemudian mereka perlu melipatgandakan biaya pelanggaran dengan probabilitas bahwa peristiwa semacam itu akan terjadi untuk menempatkan angka dolar pada eksposur mereka.

Meskipun ada banyak alat otomatis, termasuk yang menggunakan kecerdasan buatan (AI), yang dapat membantu dalam hal ini, kunci untuk melakukannya dengan baik adalah memastikan perhitungan berakar pada data yang nyata dan relevan – yang berbeda untuk setiap perusahaan atau organisasi .

Pikirkan di luar aspek keamanan

Setiap perhitungan biaya pelanggaran perlu mempertimbangkan faktor-faktor di luar aspek keamanan. Perlu juga mempertimbangkan faktor-faktor termasuk wilayah, industri, ukuran organisasi, dan lainnya – karena denda dan peraturan sangat berbeda tergantung pada aspek-aspek ini, dan mengakibatkan perbedaan besar dalam biaya pengelolaan pelanggaran data, bahkan ketika pelanggaran data sangat mirip. permukaan. Misalnya, sektor keuangan sering menghadapi pengawasan peraturan yang lebih ketat dan denda yang lebih tinggi daripada banyak sektor lainnya.

Lokasi juga dapat membuat perbedaan besar. Terutama setelah penerapan undang-undang GDPR UE, konsekuensi denda yang terkait dengan pengungkapan data pribadi di negara-negara Eropa seringkali lebih tinggi daripada di tempat lain.

Jumlah denda juga tergantung pada jenis data yang dilanggar. Biayanya juga dapat berbeda jika pelanggaran menyebabkan penghentian total bisnis atau kerusakan reputasi yang signifikan — dan semua konsekuensi ini bergantung pada aspek unik dari setiap bisnis. Kecuali jika perhitungan memperhitungkan karakteristik bisnis yang unik dan spesifik, hasilnya tidak akan membantu.

Bedakan antara biaya langsung dan tidak langsung

Perhitungan biaya pelanggaran harus mencakup biaya langsung dan tidak langsung, dan membedakannya. Dengan mempertimbangkan biaya langsung, seperti denda, pembayaran lain kepada pihak ketiga atau hilangnya pendapatan jika operasi bisnis terhenti; dan biaya tidak langsung seperti churn yang sering mengikuti pelanggaran dan hilangnya produktivitas saat bereaksi terhadap pelanggaran, perusahaan dapat melihat gambaran keseluruhannya. Biaya potensial ini juga harus disesuaikan untuk setiap bisnis, sehingga mereka dapat merencanakan dengan benar. Misalnya, situs web yang offline mungkin lebih merusak – dan biaya langsung – untuk situs belanja online daripada untuk firma hukum, yang mungkin hanya merupakan biaya tidak langsung.

Melihat perincian biaya – dan garis waktu kapan biaya tersebut harus dibayarkan – membantu perusahaan merencanakan pengeluaran tersebut dan lebih memahami bagaimana angka paparan dunia maya mereka dihitung.

Memahami – dan mengurangi – eksposur keuangan nyata

Meskipun mengetahui potensi biaya pelanggaran sangat membantu, itu hanya sebagian dari gambarannya. Data juga harus digunakan untuk menilai kemungkinan serangan untuk setiap aset bisnis. Bagaimanapun, paparan risiko dunia maya terdiri dari biaya pelanggaran dikalikan dengan kemungkinannya. Kalkulator eksposur apa pun harus memberikan eksposur keseluruhan untuk memberi gambaran besar kepada perusahaan, ditambah eksposur untuk setiap aset bisnis atau departemen yang dilanggar.

Eksposur dunia maya bukan hanya satu nomor; itu adalah beberapa nomor yang berbeda untuk setiap aspek organisasi. Ini berarti penting untuk memetakan, seringkali dengan bantuan AI, kemungkinan rute serangan ke setiap tujuan jaringan, dan menghasilkan data tentang kemungkinan setiap serangan yang sebenarnya.

Hanya dengan menghitung kemungkinan setiap aset bisnis dilanggar – dan biaya pelanggaran itu – perusahaan dapat memahami di mana tepatnya eksposur mereka berada, dan di mana setiap dolar yang rentan berada. Hal ini memungkinkan perusahaan untuk memprioritaskan dan memetakan rencana pencegahan dan mitigasi yang efektif, daripada membuang uang pada apa yang mereka harapkan akan menjadi solusi menyeluruh.

Kabar baik tentang kemungkinan serangan adalah bahwa aspek ini sebagian besar berada di bawah kendali perusahaan. Begitu mereka memahami kemungkinan setiap area bisnis menjadi korban serangan siber, organisasi dapat mengurangi kemungkinan itu – dan keterpaparan mereka secara keseluruhan – dengan menutup kerentanan tertentu dan mengambil tindakan lain, seperti memiliki tim IR yang terlatih dan siap untuk campur tangan.

Data dan AI semakin menjanjikan untuk membantu perusahaan menghitung biaya dan kemungkinan pelanggaran data potensial, serta mengukur paparan dunia maya. Tetapi pengguna alat tersebut perlu memastikan bahwa mereka benar-benar mempertimbangkan data relevan yang sering dilupakan tetapi dapat sangat berdampak pada biaya pelanggaran.

Tantangan lainnya adalah bahwa biaya pelanggaran, perhitungan risiko dan eksposur harus dipersonalisasi untuk setiap perusahaan. Agar efektif dan mengarah pada rencana mitigasi praktis, data yang digunakan untuk menilai risiko dunia maya perlu menyertakan faktor-faktor seperti jumlah karyawan, lokasi, industri, dan lainnya.

Karena keamanan siber memiliki pengaruh yang lebih besar terhadap investor dan pemangku kepentingan perusahaan, data dan AI tidak diragukan lagi akan terus memainkan peran yang tumbuh dan lebih sentral dalam menerjemahkan risiko siber menjadi risiko bisnis. Tapi itu hanya membantu jika dilakukan dengan benar.

Inbar Ries adalah chief product officer di CYE.

DataDecisionMakers

Selamat datang di komunitas VentureBeat!

DataDecisionMakers adalah tempat para ahli, termasuk orang-orang teknis yang melakukan pekerjaan data, dapat berbagi wawasan dan inovasi terkait data.

Jika Anda ingin membaca tentang ide-ide mutakhir dan informasi terkini, praktik terbaik, dan masa depan data dan teknologi data, bergabunglah dengan kami di DataDecisionMakers.

Anda bahkan mungkin mempertimbangkan untuk menyumbangkan artikel Anda sendiri!

Baca Lebih Lanjut Dari DataDecisionMakers

Leave a Reply

Your email address will not be published.