Cyber- und Technologierisiken sind aus dem heutigen Unternehmensgeschehen nicht mehr wegzudenken. In einer Zeit, in der digitale Innovationen die Geschäftsabläufe vorantreiben, sind die Cyber-Bedrohungen immer ausgefeilter und zahlreicher geworden. Die Quantifizierung von Cyber-Risiken mithilfe der FAIR-Methode (Factor Analysis of Information Risk) ist ein risikobasierter Ansatz zur Quantifizierung von Cyber-Risiken in finanzieller Hinsicht. Dieser Ansatz liefert Unternehmen quantitative Erkenntnisse, die eine fundierte Entscheidungsfindung unterstützen.
Wissen Sie, welche Taktiken Angreifer bei einem Datenverlust anwenden und wie viel es Ihr Unternehmen kosten würde, wenn es morgen zu einem solchen Vorfall käme?
Entscheidungen in Unternehmen werden auf der Grundlage von Finanzprognosen getroffen und die vergangene Leistung wird anhand von Finanzkennzahlen gemessen. Cyber-Sicherheit wird jedoch oft nicht aus einer finanziellen Perspektive betrachtet. Cyber-Risiken werden traditionell mit qualitativen Methoden gemanagt, die subjektiv sind und Begriffe wie "hoch", "mittel" oder "niedrig" verwenden, um das Risikoniveau zu beschreiben. Wenn Sie an quantitative Methoden denken, denken Sie vielleicht, dass Sie eine genaue Zahl erhalten, aber in Wirklichkeit handelt es sich um eine Verteilung oder einen Bereich von Zahlen.
Mit der Cyber Risk Quantification Analyse (CRQ) unter Verwendung von FAIR identifizieren wir Ihre Cyber-Risiken und quantifizieren die Häufigkeit und das wahrscheinliche Ausmaß von Verlusten, indem wir messen, wie oft ein bedrohliches Ereignis, wie z.B. eine Datenpanne, auftreten könnte und wie hoch die wahrscheinlichen finanziellen Auswirkungen eines erfolgreichen Angriffs sind.
Risiko (in €) = Schadenshäufigkeit (in %) + Schadenshöhe (in €)
Die Wirksamkeit einer risikobasierten Methode wie CRQ unter Verwendung von FAIR wird noch verstärkt, wenn sie in Verbindung mit anderen Cybersicherheitsrahmenwerken und -kontrollen wie NIST CSF, CIS V8, Cyber Kill Chain und MITRE ATT&CK verwendet wird.
Kontrollbewertungen sind nicht nur eine Compliance-Übung. Wenn Sie Ihre Risikoszenarien dem MITRE ATT&CK-Framework zuordnen, können Sie Bedrohungen nach den von Angreifern verwendeten Techniken und Taktiken kategorisieren. Diese differenzierte Ansicht ermöglicht es Ihnen, die Kontrollen zu bestimmen, die die Häufigkeit von Vorfällen und das wahrscheinliche Schadensausmaß reduzieren und gleichzeitig den höchsten ROI bieten.
Fallstudie: Ein globales Werbeunternehmen nahm die Beratung und Dienstleistungen von C-Risk in Anspruch.
Vor der Implementierung eines umfassenden Identitäts- und Zugriffsmanagementprogramms (IAM) und nach Gesprächen mit der IT-Abteilung musste der CISO die wirksamsten Kontrollmaßnahme zur Eindämmung von Ransomware-Angriffen identifizieren, um die Investition und Implementierung zu rechtfertigen.
Auf dieser Grundlage quantifizierten wir die Häufigkeit von Verlustereignissen und die Höhe der Verluste (oder finanziellen Auswirkungen) für jedes Risikoszenario. Darüber hinaus haben wir die Ransomware-Szenarien mit Hilfe des MITRE ATT&CK Frameworks den am häufigsten auftretenden Kill Chains zugeordnet. Dies hat uns geholfen, Kontrolllücken aufzudecken und herauszufinden, welche Kontrollen das Risiko am effektivsten eindämmen. Schließlich konnten wir unter Berücksichtigung der Implementierungskosten quantifizieren, wie viel Risiko für jeden ausgegebenen Dollar reduziert wurde. Dies ermöglichte es dem CISO, eine fundierte Entscheidung über die Prioritätensetzung zu treffen und ein Budget für neue Kontrollen zu rechtfertigen.
Ein Proof of Concept kann ein entscheidender Schritt sein, um die volle Unterstützung der Geschäftsleitung für eine neue Sicherheitsinvestition zu erhalten. Durch die Quantifizierung von Cyber-Risiken erhalten Sie schnell die Geschäftskennzahlen, die Ihren Vorschlag untermauern.
Die Quantifizierung von Cyber-Risiken bietet einen quantifizierten Einblick in die kritischsten Schwachstellen und ermöglicht es Unternehmen, ihre Ressourcen und Kontrollen effektiv zu priorisieren und die kostspieligsten Risiken zuerst anzugehen.
Auch wenn Führungskräfte keine IT-Experten sind, sind sie sich der Cyber-Risiken zunehmend bewusst. Der CRQ quantifiziert das Risiko in finanzieller Hinsicht, was als Entscheidungsgrundlage für die Zuweisung von Ressourcen und die Überwachung von Cyber-Risiken dienen kann.
Unsere FAIR-zertifizierten Expertinnen und Experten helfen Ihnen, Ihre Investitionen in die IT-Sicherheit zu priorisieren, die Governance zu verbessern und die Cyber-Resilienz Ihres Unternehmens zu erhöhen.
Ermittlung der Auswirkungen von Kontrollen auf die Häufigkeit und die Folgen eines bestimmten Szenarios in jeder Phase einer Cyber-Kill-Kette.
Effiziente Ressourcenallokation mit einem datengesteuerten Ansatz, der die kostenintensivsten Risiken mit den entsprechenden Kontrollen angeht.
Quantifizierte Empfehlungen erleichtern die Kommunikation zwischen der ersten Verteidigungslinie (Betrieb) und der zweiten Verteidigungslinie (Risikomanagement und/oder Prüfung).
Die Einhaltung der gesetzlichen Vorschriften für risikobasierte Kontrollen schützt die Vertraulichkeit, Integrität und Verfügbarkeit Ihrer Daten.
CRQ mit FAIR ist ein flexibles Modell, das als Grundlage für gezielte Entscheidungen, aber auch für die langfristige Bewertung breiter angelegter Sicherheitsstrategien dienen kann.
Die Verwendung von MITRE ATT&CK zur Risikobewertung liefert eine klare Ereignisabfolge, die eine effiziente Implementierung von Kontrollen ermöglicht, um die Auswirkungen von Cybervorfällen zu mindern.
C-Risk unterstützt die Geschäftsleitung, CSOs, CISOs und Risikomanager. Wir helfen Ihnen, Ihre Investitionsstrategien mit präzisen, datengestützten Analysen zu verfeinern und Cyber-Risiken aus finanzieller Sicht zu kommunizieren.
Wir freuen uns von Ihnen zu hören.
Cyber Risk Quantification (CRQ) bewertet die Häufigkeit und die potenziellen finanziellen Auswirkungen einer bestimmten Cyber-Bedrohung. Anstelle von beschreibenden Begriffen oder Fachjargon übersetzt CRQ Cyber-Bedrohungen in klare monetäre Werte, die es Entscheidungsträgern wesentlich einfacher machen, die potenziellen Auswirkungen dieser Risiken zu verstehen.
Eine gute Cybersicherheitsstrategie ist umfassend, anpassungsfähig und wird ständig weiterentwickelt, um die mit der dynamischen Natur von Cyberbedrohungen verbundenen Risiken zu mindern. Die Quantifizierung von Cyber-Risiken mit Hilfe des FAIR-Standards und der FAIR-Methodik ermittelt die Häufigkeit und die Kosten von Cyber- und Technologierisiken. Dieser risikobasierte Ansatz stellt sicher, dass die Ausgaben für Sicherheit dort getätigt werden, wo sie einen Nutzen bringen und die Cyber-Resilienz verbessern.
Sicherheitskontrollfamilien sind Gruppen von Sicherheitskontrollen, die nach ihrer Funktionalität oder den Sicherheitsaspekten, auf die sie abzielen, geordnet sind, wie z.B. physischer Zugang, Reaktion auf Vorfälle, Schutz vor Denial of Service. NIST SP 800-53 enthält beispielsweise 20 Sicherheitskontrollfamilien und innerhalb jeder Familie eine Reihe von Kontrollen.