Choix de l'entreprise dans la mesure des risques

Le risque peut être difficile à mesurer. Comme dans bien des domaines de la vie, le diable se cache dans les détails. Et lorsqu’il s’agit de cybersécurité, ce diable délicat peut faire la différence entre un chiffre qui coche simplement une case sur une feuille d’exigences et une mesure qui est au cœur d’un plan de gestion des risques mature.

L'embarras du choix

Réduit à sa forme la plus élémentaire, le risque est un concept simple. Vous prenez la probabilité qu'un événement se produise, la multipliez par l'impact de son apparition, et vous obtenez une mesure de risque. Le problème est que nous savons tous que la vie n’est généralement pas aussi simple.

Pour commencer, il existe des complications, telles que l’étendue d’un événement : est-ce une possibilité uniquement sur une poignée d’appareils spécialisés ou sur chaque point final appartenant à l’organisation ? Ensuite, vous entrez dans les différents types d'impact qu'un événement pourrait avoir, avec quelle facilité cet impact pourrait être corrigé, et ainsi de suite, et avant que vous vous en rendiez compte, les équations ressemblent plus à de la mécanique quantique qu'à des mathématiques de troisième année.

Vient ensuite la question de savoir comment exprimer la quantité de risque ; est-ce une échelle de 1 à 100 ? En dollars ? En couleurs, comme dans le classement original du niveau de menace du DHS ? Dans le facteur « cool » relatif de divers amphibiens ? Cela peut être un choix difficile.

Et c’est là que réside un problème clé : non pas qu’il n’existe aucun moyen de quantifier et d’exprimer le risque, mais il existe de nombreuses façons de s’attaquer au problème. Ce n’est pas qu’un système soit nécessairement mauvais (même si l’échelle amphibie peut être un peu glissante), mais qu’il est difficile de passer d’une échelle à une autre et de comparer les positions de risque relatives des organisations dans une zone géographique ou un groupe industriel. La difficulté rend plus important qu'il ne l'aurait été autrement de prendre soin de choisir une méthode de quantification des risques.

Choisir le bon outil

Il existe, au sens très large, trois types d’outils utilisés pour quantifier le risque. Il existe des cadres ou des méthodologies qui peuvent être utilisés pour créer des processus personnalisés ou comme base pour des produits commerciaux. Il existe des outils dont la fonction principale est de quantifier le risque, même s’ils peuvent très bien alimenter d’autres outils. Et il existe des produits ou des services qui quantifient les risques dans le cadre d’un ensemble de fonctionnalités plus large.

Certaines organisations constateront que leur choix d’outil de quantification des risques se fait en choisissant un autre outil ou service. Si le produit ou le service le plus important, qu'il s'agisse de gestion des risques ou cyber assurance, inclut la quantification des risques, il peut alors être très difficile de justifier le paiement d’un système différent – ​​dans de nombreux cas, un système redondant – pour effectuer la même analyse.

D'autres organisations constateront que leur choix d'outil de quantification des risques est fait pour elles en raison de relations commerciales, par exemple des contrats avec une entité gouvernementale qui nécessitent une analyse de risque particulière dans le cadre du processus de qualification du contrat.

Pour les organisations qui ont la liberté (ou la corvée) de choisir un outil de quantification des risques, la première question à se poser est la suivante : pourquoi il est important de quantifier le risque. Cela peut sembler une question avec une réponse évidente, mais dans la plupart des cas, la décision sera motivée par un besoin primordial. Et ce besoin primordial devrait également déterminer le choix de l’outil. Quantifier le risque organisationnel n'est ni simple ni peu coûteux, il est donc important que le choix de l'outil réponde le plus pleinement possible aux besoins.

Existe-t-il une manière particulière par laquelle l’organisation quantifie le risque financier ? Existe-t-il des projets de partenariats ou d'efforts de vente futurs qui bénéficieraient d'une manière particulière de mesurer ou d'exprimer le risque ? Un changement d'assureur est-il dans les cartes ? L'un ou l'autre de ces éléments pourrait avoir un impact sur l'outil qui répondrait le mieux aux besoins de l'organisation. Poser des questions à des partenaires ou fournisseurs potentiels pourrait ouvrir la voie à la recherche d'un outil qui répondrait au besoin immédiat tout en positionnant l'organisation pour répondre également aux besoins futurs.

Quantifier les cyber-risques est une exigence pour un nombre croissant d’organisations. Adopter la bonne approche pour choisir l’outil permettant de quantifier ce risque contribuera grandement à rendre le processus aussi précieux et efficace que possible.

• Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
• PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
• PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
• PlatonESG. Automobile / VE, Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
• Décalages de bloc. Modernisation de la propriété des compensations environnementales. Accéder ici.
• La source: https://www.darkreading.com/omdia/enterprise-choices-in-measuring-risk