Perkuat postur keamanan perusahaan Anda dengan kuantifikasi risiko

Panggilan risiko

Profesional risiko bekerja dengan ketidakpastian setiap hari. Mereka perlu mengidentifikasi dan memprioritaskan risiko mana yang harus ditangani sekarang versus nanti, mempertimbangkan banyak bagian yang bergerak dan mengandalkan penilaian dan data untuk membuat keputusan yang tepat.

Tetapi bagaimana mereka mengomunikasikan risiko-risiko itu kepada para pemangku kepentingan? Menggunakan klasifikasi “rendah, sedang, atau tinggi” tidak selalu mengungkapkan pertimbangan risiko yang diperlukan — terutama karena istilah tersebut tidak berarti hal yang sama bagi semua orang. Jika Anda memberi tahu pemangku kepentingan utama “besok kemungkinan akan hujan” sebelum acara barbekyu perusahaan, bagaimana mereka tahu apakah akan menjadwal ulang atau mendirikan beberapa tenda? Apakah “kemungkinan” informasi yang cukup untuk membuat keputusan itu, terutama karena tidak semua orang menyamakan kemungkinan dengan tingkat probabilitas yang sama?

Program transformasi digital yang dipercepat, pelaku ancaman siber yang semakin agresif, dan tenaga kerja yang tersebar memiliki risiko tumbuh ke segala arah. Bagaimana Anda bisa berkembang dengan tren yang terus berubah? Dengan menggunakan kuantifikasi risiko dan bahasa umum yang dipahami semua orang.

Alat yang berguna untuk manajemen risiko yang lebih efisien

Kuantifikasi risiko adalah alat penting yang dapat digunakan perusahaan untuk mengurangi dampak finansial dari pelanggaran data. Survei PwC tahun 2021 menemukan lebih dari setengah eksekutif bisnis dan teknologi yang disurvei meningkatkan anggaran siber perusahaan mereka. Mereka menggabungkan dunia maya dan privasi ke dalam setiap keputusan atau rencana bisnis. Hampir 75 persen berharap untuk memperkuat postur keamanan siber mereka sambil menahan biaya.

Kuantifikasi risiko menawarkan pendekatan yang lebih ketat daripada memberi label ancaman sebagai rendah, sedang, atau tinggi. Bagaimana jika Anda bisa lebih spesifik daripada mengatakan ada kemungkinan 25 persen salju atau 75 persen kemungkinan salju? Mengkomunikasikan risiko yang diperhitungkan, mengembangkan rencana, dan mendapatkan dukungan dari semua orang akan jauh lebih mudah.

Menerjemahkan bahasa subjektif ke dalam angka memungkinkan setiap orang untuk memvisualisasikan, memahami, dan mengukur nilainya. Data yang akurat dan terukur memfasilitasi pengambilan keputusan yang terinformasi. Kuantifikasi risiko dunia maya berfokus pada hal-hal strategis dan meningkatkan produktivitas karena:

Menilai besarnya potensi kerugian atau nilai yang berisiko dalam skenario tertentu.Membandingkan jumlah risiko dengan toleransi risiko organisasi Anda.Memungkinkan perusahaan merancang respons yang lebih selaras untuk mencapai hasil tertinggi.

Perlu alasan lain untuk merangkul kuantifikasi risiko? Pada tahun 2023, Gartner memperkirakan 30 persen efektivitas CISO akan diukur secara langsung pada kemampuan mereka untuk menciptakan nilai bisnis. Kemampuan kuantifikasi risiko untuk membantu CISO menghitung dampak keuangan dari profil risiko perusahaan mereka menjadikannya penting untuk pengambilan keputusan. Menggunakan istilah moneter untuk mengukur eksposur risiko juga mengurangi ambiguitas. Manajer risiko dapat mengubah pandangan perusahaan secara keseluruhan tentang risiko dari hambatan menjadi keunggulan strategis.

Dengan mengkuantifikasi skenario risiko, perusahaan menjadi diberdayakan untuk:

Menilai potensi besarnya kerugian atau nilai pada risiko (VaR) di bawah skenarioBandingkan VaR dengan toleransi risiko organisasiRancang tanggapan mereka untuk mencapai pengembalian tertinggi

Ancaman dunia maya yang terus berkembang membutuhkan peningkatan permainan keamanan Anda

Ketika PwC melakukan penilaian kesiapan siber pada awal tahun 2021, para CEO AS mencantumkan ancaman siber sebagai perhatian utama mereka. Inovasi keamanan siber tidak mengikuti digitalisasi. Mengikuti transformasi bisnis juga tidak cukup.

Di mana penjahat dunia maya meningkatkan serangan mereka? Hampir di mana-mana. Sekitar setengah dari organisasi yang berpartisipasi dalam survei PwC mengidentifikasi pembaruan perangkat lunak, rantai pasokan perangkat lunak, dan email bisnis sebagai vektor serangan teratas untuk malware dan phishing. Vektor ancaman yang berkembang pesat lainnya termasuk IoT dan teknologi seluler.

CISO dan CIO mengantisipasi serangan ransomware untuk mempercepat dan tumbuh lebih mahal. Untuk memulai kuantifikasi risiko, organisasi dapat menggunakan model Open FAIRâ„¢ untuk mendefinisikan risiko secara objektif dengan taksonomi yang jelas, yang bila diterapkan di seluruh organisasi, memungkinkan setiap orang untuk berkomunikasi dan memahami risiko. Kesadaran yang meningkat ini meningkatkan pengambilan keputusan di antara karyawan dan kepemimpinan perusahaan dan melindungi aset dengan lebih baik dalam jangka panjang. Menerapkan Open FAIR, memungkinkan Anda untuk mengukur risiko dengan:

Mengidentifikasi risiko spesifik perusahaan.Mengevaluasi orang, proses, dan kontrol teknologi.Menilai dampak moneter dari peristiwa ancaman yang berpotensi terwujud.Mensimulasikan kemungkinan hasil.

Alat yang efektif untuk mengidentifikasi dan menimbang pro dan kontra risiko

Kuantifikasi risiko mengukur risiko. Ini bukan bola Magic 8, jadi meskipun membantu manajer risiko memprioritaskan risiko mana yang harus ditangani, itu tidak menawarkan saran tentang cara menggunakan informasi yang dikumpulkannya. CISO dan profesional risiko lainnya tetap harus menggunakan pengalaman, intuisi, dan penilaian mereka berdasarkan pemahaman mereka tentang perusahaan, selera risikonya, dan risiko yang dihadapinya.

Nilai kuantifikasi risiko terletak pada memberi perusahaan alat lain untuk menilai, mengomunikasikan, dan merespons risiko secara strategis. Mengukur dampak keuangan risiko yang berbeda memungkinkan perusahaan untuk menyeimbangkan tujuan bisnis dan memprioritaskan perlindungan aset. Pendekatan ini menciptakan keuntungan dari menyelaraskan analisis risiko dan keputusan dengan tujuan bisnis.

Mungkin pertanyaan terbaik untuk diajukan bukanlah “Apa yang akan terjadi jika perusahaan saya tidak menambahkan kuantifikasi risiko ke dalam strateginya?” melainkan “Seberapa besar kerugian yang saya lakukan jika saya tidak memasukkan kuantifikasi risiko?”

Kredit Foto: Olivier Le Moal / Shutterstock

Jon Siegler adalah Co-Founder dan Chief Product Officer di LogicGate. Dia memiliki lebih dari satu dekade pengalaman dalam merancang risiko perusahaan dan sistem kepatuhan yang berpusat pada pelanggan, memberikan nilai bagi organisasi dengan mengurangi risiko mereka, meningkatkan efisiensi, dan mengotomatisasi proses. Jon didorong oleh hasrat untuk terhubung secara mendalam dengan masalah pelanggan kami untuk membangun produk luar biasa yang membuat tantangan risiko dan kepatuhan menjadi lebih mudah.

Author: Martha Meyer