ISACA: Making Risk Assessments Meaningful

ISACA: Making Risk Assessments Meaningful: Data Breach Intelligence That Matters

השתתפתי היום בISACA Online בהרצאה בנושא הערכת סיכונים כמותית שהעביר בילי אוסטין, סגן נשיא אבטחה של החברת SolarWinds MSP. ההרצאה התמקדה ברעיון שהגדרת רמת סיכון לא חייבת להיות כללית (כלומר גבוהה, בינונית או נמוכה) או בהתאם למחשבון זה או אחר. הבעיה שהוא מעלה היא שהגדרת רמת האבטחה בצורה הזאת לא ברורה מספיק להנהלה מצד אחד ולא מדגישה את התועלות שבאבטחת מידע מצד שני.

הרעיון שעומד במרכז הגישה היא שאם ניקח מקרי עבר של אובדנים פיננסים שקרו בעיקבות חשיפה לסיכונים, תביעות שהוגשו בתחום ותשלומים של חברות ביטוח אפשר יהיה לכמת את ערך הסיכון. גם אם זה לא מדוייק זה עדיין עדיף על פני אמרה כללית.

ניקח למשל את הפיצויים הישירים על דליפה של מספר כרטיס אשראי. בגין כל כרטיס שדלף הקנס הישיר נע בין 40-30 דולר. אם הארגון שלנו מחזיק במאגר שלו 100,000 מספרי כרטיסי אשראי אז החשיפה הישירה של הארגון היא בין 3 מיליון ל- 4 מיליון דולר . מבחינת ההנהלה הסיכון כאן ברור ומכומת. מצד שני במידה ונצליח להקטין את הסיכון הרי שהגנו על אובדן של 3 מיליון ל- 4 מיליון דולר לארגון.

הרצאה הייתה מאוד ממוקדת והבחינה הקצרה בסוף הייתה די קלה.

isaca

כתיבת תגובה