A mai szervezetek egyre nagyobb mértékben támaszkodnak a különféle mérőszámokra és mutatókra, ezek közül pedig az egyik legfontosabb a kiberkockázatok értékelése lenne, ami elengedhetetlen a megalapozott biztonsági befektetésekhez vagy az adatszivárgás kockázatait minimalizáló ellenőrzések végrehajtásához. Ennek ellenére sok helyen még mindig nem ismerik pontosan a környezetük kockázati szintjét és saját kitettségüket: a Trend Micro előző év végi felmérése szerint például az IT-vezetők fele, az üzleti döntéshozóknak pedig csak 38 százaléka gondolja úgy, hogy a vállalati vezetőség tisztában van ezekkel a kiberkockázatokkal.

A Venture Beat vonatkozó összeállítása szerint ez nem jelenti, hogy nincsenek erre irányuló törekvések: a lap a Gartner jelentését idézi, amelynek alapján a biztonságért és kockázatkezelésért felelős vezetők egyre több befektetést eszközölnek a kiberkockázatok számszerűsítésébe, bár tényleges eredményekről még csak 36 százalékuk számol be ezen a területen. A cyber risk quantification (CRQ) néven hivatkozott technikák ráadásul abban a tekintetben szubjektív kihívást jelentenek, hogy az egyes szervezetek eltérő kockázati szinteket azonosítanak attól függően, hogy miként definiálják a kiberkockázatot, milyen módszertanokat és adatokat használnak.

Az IT-biztonság üzleti befektetés

A VB a Fair Analysis of Information Risk (FAIR) kvantitatív modelljére hivatkozva az alkalmazottak, az irányelvek, a folyamatok és az alkalmazott technológiák kombinációjaként határozza meg a kibertámadások esetén fellépő kockázatokat, a kockázatmenedzsment pedig ennek alapján tenné lehetővé a még elfogadható veszteségszintek fenntartását. Ha mindez mérhető, az nem csak a digitális környezet általános biztosítása miatt lényeges, hanem azt is elkerülhetővé teszi, hogy senki ne költsön túl sokat az amúgy nem is hatékony ellenőrzésekre. Erre számos keretrendszer és módszer alkalmas, az említett FAIR mellett például ilyen a NIST Cybersecurity Framework (CSF) vagy a Risk Management Framework (RMF).

A kockázatkalkulátorok közül a cikk külön is kiemeli az ingeyenes Safe CRQ Calendar megoldást, amelyik saját prediktív kutatási modelljét használja az iparágak elemzésére, nyivánosan elérhető források alapján határozva meg a jogsértések valószínűségét a következő 12 hónapban. A VB szerint az informatikai biztonságért felelős vezetők (CISO-k) felelőssége egyre nagyobb a szervezetek üzleti sikerességének biztosításában, amit az is jelez, hogy a Gartner 2026-os prognózisa alapján a C-szintű vezetők legalább felének a munkaszerződésébe addigra már beépülnek majd a kiberbiztonsági kockázatkezeléssel kapcsolatos teljesítménykövetelmények.

A piackutató előrejelzései, amelyekről ebben a cikkünkben írtunk részletesebben, azt is világossá teszik, hogy a CISO-k egyre kevésbé minősülnek egyszerűen csak a biztonsági kérdésekben elszámoltatható személynek, és feladatuk egyre nagyobb részben arra is irányul, hogy az üzleti vezetőket felvértezzék a nagy horderejű, információs kockázatokat érintő döntések meghozatalához szükséges ismeretekkel. Ebben az értelemben tehát aktív szerepet játszanak abban, hogy a menedzsment képes legyen egyensúlyban tartani a kiberbiztonsági kockázatok kezelését a vállalatok kulcsfontosságú üzleti céljainak teljesítésével.

Részletek a VentureBeat oldalán »