Alors que les entreprises calculent le cyber-risque, les bonnes données font une grande différence

Nous sommes ravis de ramener Transform 2022 en personne le 19 juillet et virtuellement du 20 au 28 juillet. Rejoignez les leaders de l’IA et des données pour des discussions approfondies et des opportunités de réseautage passionnantes. Inscrivez-vous aujourd’hui!


Les règles plus strictes proposées par la Securities and Exchange Commission des États-Unis en matière de déclaration cyber-attaques aura des ramifications au-delà de la divulgation accrue des attaques au public. En exigeant non seulement un signalement rapide des incidents, mais également la divulgation des cyberpolitiques et de la gestion des risques, une telle réglementation apportera finalement plus responsabilité pour la cyber-sécurité aux plus hauts niveaux de direction de l’entreprise.

Cela signifie que les conseils d’administration et les dirigeants devront approfondir leur compréhension de la cybersécurité, non seulement d’un point de vue technologique, mais aussi du point de vue des risques et de l’exposition commerciale. Le directeur financier, le directeur marketing et le reste de la suite C et du conseil d’administration voudront et devront savoir à quelle exposition financière l’entreprise est confrontée en cas de violation de données, et quelle est la probabilité que cela se produise. manquements qui va se passer. C’est la seule façon pour eux d’élaborer des politiques et des plans cyber et de réagir correctement aux réglementations proposées.

Calcul du risque cyber

Les entreprises devront donc pouvoir calculer et chiffrer en dollars leur exposition au cyber-risque. C’est le point de départ de la capacité à prendre des décisions en matière de cybersécurité non pas dans le vide, mais dans le cadre de décisions commerciales globales. Pour quantifier avec précision l’exposition à la cybersécurité, les entreprises doivent comprendre quelles sont les menaces et quelles données et actifs commerciaux sont menacés, puis elles doivent multiplier le coût d’une violation par la probabilité qu’un tel événement se produise afin de mettre un chiffre en dollars sur leur exposition.

Bien qu’il existe de nombreux outils automatisés, y compris ceux qui utilisent l’intelligence artificielle (IA), qui peuvent aider à cela, la clé pour bien faire cela est de s’assurer que les calculs sont enracinés dans des données réelles et pertinentes – qui sont différentes pour chaque entreprise ou organisation. .

Pensez au-delà des aspects de sécurité

Tout calcul du coût d’une violation doit prendre en compte des facteurs au-delà des aspects de sécurité. Il doit également tenir compte de facteurs tels que la région, l’industrie, la taille de l’organisation et plus encore – car les amendes et les réglementations diffèrent fortement en fonction de ces aspects et entraînent de grandes différences dans les coûts de gestion des violations de données, même lorsque les violations de données sont très similaires sur la surface. Par exemple, le secteur financier fait souvent l’objet d’une surveillance réglementaire accrue et amendes plus élevées que de nombreux autres secteurs.

L’emplacement peut également faire une grande différence. Surtout après la mise en œuvre de la politique de l’UE RGPD loi, les conséquences de amendes associés à l’exposition de données personnelles dans les pays européens sont souvent plus élevés que dans d’autres endroits.

Le montant des amendes dépend également du type de données violées. Les coûts peuvent également différer si une violation entraîne une fermeture totale de l’entreprise ou une atteinte importante à la réputation – et toutes ces conséquences dépendent des aspects uniques de chaque entreprise. À moins qu’un calcul ne tienne compte des caractéristiques uniques et spécifiques d’une entreprise, les résultats ne sont pas utiles.

Distinguer coûts directs et coûts indirects

Les calculs du coût de la violation doivent inclure à la fois les coûts directs et indirects et les distinguer. En tenant compte des coûts directs, comme les amendes, les autres paiements à des tiers ou la perte de revenus si les opérations commerciales s’arrêtent ; et les coûts indirects comme le désabonnement qui suit souvent les violations et la perte de productivité lors de la réaction à une violation, les entreprises peuvent voir l’image dans son ensemble. Ces coûts potentiels doivent également être personnalisés pour chaque entreprise, afin qu’elle puisse planifier correctement. Par exemple, un site Web hors ligne est probablement plus préjudiciable – et un coût direct – pour un site d’achat en ligne que pour un cabinet d’avocats, où il peut ne s’agir que d’un coût indirect.

Voir la ventilation des coûts – et le calendrier du moment où ils devraient être payés – aide les entreprises à planifier ces dépenses et à mieux comprendre comment leur chiffre d’exposition à la cyber-exposition a été calculé.

Comprendre – et réduire – l’exposition financière réelle

Bien qu’il soit utile de connaître le coût potentiel d’une violation, ce n’est qu’une partie de l’image. Les données doivent également être utilisées pour évaluer la probabilité d’attaque pour chaque actif de l’entreprise. Après tout, l’exposition au cyber-risque est constituée du coût de la violation multiplié par la probabilité. Tout calculateur d’exposition doit donner une exposition globale pour donner aux entreprises une vue d’ensemble, ainsi qu’une exposition pour chaque actif ou service de l’entreprise faisant l’objet d’une violation.

La cyber-exposition n’est pas qu’un chiffre ; il s’agit de plusieurs nombres différents pour chaque aspect de l’organisation. Cela signifie qu’il est important de cartographier, souvent avec l’aide de l’IA, les itinéraires d’attaque possibles vers chaque destination du réseau et de produire des données sur la probabilité que chacun soit réellement attaqué.

Ce n’est qu’en calculant la probabilité de violation de chaque actif commercial – et le coût de cette violation – que les entreprises peuvent comprendre où se situe exactement leur exposition et où se situe chaque dollar vulnérable. Cela permet aux entreprises de hiérarchiser et d’élaborer des plans de prévention et d’atténuation efficaces, plutôt que de jeter de l’argent sur ce qu’elles espèrent être des solutions globales.

La bonne nouvelle concernant la probabilité d’attaque est que cet aspect est largement sous le contrôle d’une entreprise. Une fois qu’elles ont compris la probabilité que chaque secteur de l’entreprise soit victime d’une cyberattaque, les organisations peuvent réduire cette probabilité – et leur exposition globale – en fermant des vulnérabilités spécifiques et en prenant d’autres mesures, comme avoir une équipe IR formée et prête à intervenir.

Les données et l’IA sont de plus en plus prometteuses pour aider les entreprises à calculer le coût et la probabilité d’éventuelles violations de données, ainsi qu’à quantifier la cyber-exposition. Mais les utilisateurs de ces outils doivent s’assurer qu’ils prennent bien en compte les données pertinentes qui sont souvent oubliées mais qui peuvent avoir un impact important sur le coût de la violation.

Un autre défi est que les calculs du coût, du risque et de l’exposition aux violations doivent être personnalisés pour chaque entreprise. Pour être efficaces et conduire à des plans d’atténuation pratiques, les données utilisées pour évaluer le cyber-risque doivent inclure des facteurs tels que le nombre d’employés, les emplacements, l’industrie et plus encore.

Alors que la cybersécurité a plus d’influence sur les investisseurs et les parties prenantes de l’entreprise, les données et l’IA continueront sans aucun doute à jouer un rôle croissant et plus central dans la traduction du cyber-risque en risque commercial. Mais cela n’est utile que s’il est bien fait.

Inbar Ries est chef de produit chez CYE.

DataDecisionMakers

Bienvenue dans la communauté VentureBeat !

DataDecisionMakers est l’endroit où les experts, y compris les techniciens travaillant sur les données, peuvent partager des informations et des innovations liées aux données.

Si vous souhaitez en savoir plus sur les idées de pointe et les informations à jour, les meilleures pratiques et l’avenir des données et de la technologie des données, rejoignez-nous sur DataDecisionMakers.

Vous pourriez même envisager contribution d’un article ton propre!

En savoir plus sur DataDecisionMakers



#Alors #les #entreprises #calculent #cyberrisque #les #bonnes #données #font #une #grande #différence

Leave a Comment

Your email address will not be published.