Dane zgromadzone podczas przeprowadzanych ocen ryzyka u klientów F-Secure sugerują, że większość dużych organizacji nie jest odpowiednio przygotowana na ewentualne naruszenie ochrony danych. Choć 50 proc. firm ma zespoły zarządzania kryzysowego na wypadek fizycznych katastrof lub zakłóceń działalności, tylko 20 proc. zatrudnia grupę specjalistów, która potrafi skutecznie poradzić sobie z cyberkryzysem. 65 proc. przedsiębiorstw nigdy nie przeprowadziło ćwiczeń w zakresie reagowania na cyberataki.
– Firmy mają problem z oszacowaniem, w co dokładnie inwestować, aby chronić się przed cyberzagrożeniami. Zdarza się, że budżet przeznaczony na kwestie związane z bezpieczeństwem jest niewłaściwie ulokowany i organizacja nie jest gotowa na odparcie próby naruszenia danych. Nowa usługa ma pomóc przedsiębiorstwom zdobyć wiedzę jak chronić kluczowe zasoby – mówi Michał Iwan, dyrektor regionalny F-Secure.
CBIQ pomaga skierować inwestycje we właściwe miejsca, uzasadnia wydatki i wpływa na decyzje związane z zabezpieczeniem się przed skutkami incydentów. Zwiększa też jakość raportowania ryzyka, sprowadzając wyniki do twardych liczb.
Ekspercka wiedza i narzędzie symulacyjne
Podczas oceny ryzyka za pomocą nowej usługi konsultanci F-Secure organizują warsztaty i przeprowadzają wywiady z dobrze poinformowanymi osobami w danej organizacji, aby przeanalizować działalność operacyjną. Uwzględniają wiele rodzajów strat, takich jak koszty postępowania śledczego, przywracania usług, reakcji prawnej, działań komunikacyjnych i zakłócenia w funkcjonowaniu działalności.
Konsultanci wprowadzają te koszty do dedykowanego symulatora, który oblicza najbardziej prawdopodobne wyniki i w czasie rzeczywistym ustala średnią oraz odchylenie standardowe. Symulator opracowany na podstawie wieloletnich doświadczeń w badaniu incydentów dostarcza szybkie wyniki, a ostatecznym rezultatem jest raport ryzyka oparty na strukturze kosztów danej organizacji.
Usługa CBIQ wyróżnia się na tle zwykłych metod klasyfikowania ryzyka (w kategoriach wysokie, średnie lub niskie), które uzyskuje się za pomocą narzędzi ogólnego przeznaczenia, takich jak Excel.
– Podczas gdy inne narzędzia do oceny ryzyka dostarczają niejasnych, dyskusyjnych rezultatów, my pokazujemy konkretne liczby bazujące na przejrzystych, uzasadnionych danych wejściowych – mówi Michał Iwan.
Dodatkowe informacje:
CBIQ stanowi część kompletnej oferty usług zarządzania ryzykiem świadczonych przez F-Secure. Usługi obejmują Incident Response Maturity Assessment (komplementarne badanie zdolności obronnych firmy), opracowanie procesu oceny i modelowania ryzyka, ćwiczenia z zarządzania kryzysowego, a także organizację warsztatów oraz szkoleń.
Źródła:
https://www.rand.org/pubs/external_publications/EP66656.html
https://www.ibm.com/security/data-breach/