F-Secure voorspelt daadwerkelijke kosten van securityincidenten

Nieuwe dienst maakt keuze voor investeringen in security gemakkelijker door van te voren de impact van een securityincident te kwantificeren.

Cybersecurityspecialist F-Secure helpt organisaties met de nieuwe dienst Cyber Breach Impact Quantification (CBIQ) hun cybersecurityrisico’s te kwantificeren en zo hun cybersecurityaanpak beter in te richten. Deze dienst brengt de daadwerkelijk te verwachten kosten van een securityincident nauwkeurig in kaart, gespecificeerd voor de organisatie zelf en gebaseerd op een nauwgezette meetmethode.

Kosten van een securityincident
De kosten van een cybersecurityincident lopen uiteen van USD 200.000,- tot ruim USD 3,6 miljoen en hoger. Deze uiteenlopende gemiddelden zijn van weinig waarde wanneer een organisatie de kosten van een securityincident moet afwegen tegen de kosten van securityoplossingen.
Dat organisaties slecht voorbereid zijn op cybersecurityincidenten, blijkt niet alleen uit recente incidenten. Uit data van F-Secure Risk Assessments blijkt dat 50% wellicht een crisismanagement team heeft voor het aanpakken van fysieke rampen of bedreigingen van de bedrijfsvoering, maar dat slechts 20% een dergelijk team heeft voor cybersecurityincidenten. 65% van de organisaties heeft zelfs nog nooit een crisisoefening gedaan op het gebied van cybersecurity.
Het kwantificeren van de impact van een cybersecurityincident helpt organisaties om zich beter en meer gericht voor te bereiden op mogelijke cybercrises.

“Bedrijven denken dat het te ingewikkeld is om cybersecurityrisico’s te kwantificeren”, zegt Marko Buurt, Principal Risk Management Consultant bij F-Secure. “Dus investeren ze miljoenen in oplossingen voor alle mogelijke bedreigingen, voor het geval dat er iets gebeurt. Ze weten echter niet of zij investeren in de juiste oplossingen en welke oplossingen de meeste impact hebben . Als er dan toch een incident voorkomt, hadden zij deze vaak niet voorzien en zijn ze verrast. CBIQ maakt de dreiging tastbaar en meetbaar, zodat organisaties bewust kunnen kiezen voor de beste securityoplossingen om hun kernprocessen en bestanden veilig te stellen.”

Door de kosten van een cybersecurityincident nauwkeurig te voorspellen kunnen beslissers zien wat de risico’s daadwerkelijk zijn en welke beveiligingsopties de beste bescherming bieden. Zo kunnen zij gericht securityoplossingen inzetten, de kosten beter verdedigen en goed geïnformeerd beslissingen nemen. De harde feiten helpen bovendien bij risicoanalyses en -rapportages.

Kennis + gerichte simulatietools = verdedigbaar resultaat
Als onderdeel van de CBIQ assesment onderzoeken consultants van F-Secure de organisatie: door middel van workshops en interviews met belangrijke interne kennishouders analyseren zij de operationele activiteiten van de organisatie. Hierin nemen zij verschillende variabelen die bij een securityincident kunnen horen mee: kosten van forensisch onderzoek, juridische aansprakelijkheid, kosten van het herstellen van de interne en externe dienstverlening, communicatiekosten en de kosten van het stilvallen van de belangrijkste bedrijfsprocessen.
Deze kosten worden vervolgens ingevoerd in een simulatietool van F-Secure. Deze tool berekent de te verwachten uitkomsten van securityincidenten, inclusief mogelijke afwijkingen van de norm, in real-time. De simulatietool is ontwikkeld op basis van jarenlange ervaring van F-Secure met verschillende soorten cybersecurityincidenten en de impact daarvan op organisaties.
Uiteindelijk stelt CBIQ een risicorapportage op van cybersecurityincidenten, gebaseerd op de daadwerkelijke kosten van de onderzochte organisatie en de daarbij te verwachten verlieskosten.

Harde cijfers in plaats van vage gemiddelden
Volgens Buurt is deze aanpak anders dan die van de geldende methoden en rekentechnieken, waarbij risico’s worden ingedeeld in categorieën als hoog, medium en laag. “Daar waar andere risicoanalyses vage resultaten tonen die open staan voor discussie, berekenen wij met CBIQ harde cijfers gebaseerd op onafhankelijke, te controleren input. Waarom zou je jouw securitybeleid baseren op algemeenheden en gemiddelden, als je een onafhankelijk risicobeeld kunt ontwikkelen?”

CBIQ is onderdeel van het risico management portfolio van F-Secure. Hieronder vallen onder meer diensten als Incident Response Maturity Assessment, waarmee een overzicht wordt verkregen van de volwassenheid van een organisatie om te reageren op cybersecurityincidenten, maar ook risk process management, risk modelling, training en security workshops.