Riski ölçmek zor olabilir. Hayatın çoğunda olduğu gibi, şeytan ayrıntılarda gizlidir. Siber güvenlik söz konusu olduğunda, bu aldatıcı şeytan, yalnızca gereksinimler sayfasındaki bir kutucuğu işaretleyen bir sayı ile olgun bir risk yönetimi planının merkezinde yer alan bir ölçü arasındaki fark olabilir.
Seçim için Şımarık
En basit şekline kadar kaynatılan risk, basit bir kavramdır. Bir olayın meydana gelme olasılığını alırsınız, meydana gelme etkisiyle çarparsınız ve bir risk ölçüsü çıkar. Sorun şu ki, hepimiz hayatın genellikle bu kadar basit olmadığını biliyoruz.
Her şeyden önce, bir olayın ne kadar yaygın olabileceği gibi komplikasyonlar var – bu yalnızca bir avuç özel cihazda mı yoksa kuruluşun sahip olduğu her uç noktada bir olasılık mı? Ardından, bir olayın sahip olabileceği çeşitli türden etkilere, etkinin ne kadar kolay düzeltilebileceğine vb.
Ardından risk miktarını nasıl ifade edersiniz sorusu gelir; 1’den 100’e kadar bir ölçek mi? dolar cinsinden mi? Orijinal DHS Tehdit Düzeyi sıralamasında olduğu gibi renklerde mi? Çeşitli amfibilerin göreceli “serin” faktöründe mi? Zor bir seçim olabilir.
Ve burada önemli bir sorun yatıyor: Riski ölçmenin ve ifade etmenin bir yolu olmadığından değil, soruna saldırmanın pek çok yolu var. Herhangi bir sistemin mutlaka kötü olması gerekmez (yine de amfibi ölçeği biraz kaygan olabilir), ancak bir ölçekten diğerine haritalama yapmak ve bir coğrafya veya sektör grubundaki kuruluşların göreli risk duruşlarını karşılaştırmak zordur. Zorluk, bir risk ölçüm yöntemi seçerken dikkat etmeyi başka türlü olabileceğinden daha önemli hale getirir.
Doğru Aracı Seçmek
Çok geniş anlamda, riski ölçmek için kullanılan üç tür araç vardır. Özel süreçler oluşturmak için veya ticari ürünler için temel olarak kullanılabilecek çerçeveler veya metodolojiler vardır. Diğer araçlara pekala girdi sağlayabilecek olsalar da, birincil işlevleri olarak riski ölçen araçlar vardır. Ve daha geniş bir işlevsellik setinin parçası olarak riski ölçen ürünler veya hizmetler var.
Bazı kuruluşlar, risk ölçüm aracı seçimlerinin başka bir araç veya hizmet seçimleri üzerinden yapıldığını göreceklerdir. İster risk yönetimi ister siber sigorta olsun, daha büyük ürün veya hizmet risk ölçümü içeriyorsa, aynı analizi gerçekleştirmek için farklı bir sistem – çoğu durumda yedekli bir sistem – için ödeme yapılmasını haklı çıkarmak çok zor olabilir.
Diğer kuruluşlar, örneğin, sözleşme kalifikasyon sürecinin bir parçası olarak belirli bir risk analizi gerektiren bir devlet kurumuyla yapılan sözleşmeler gibi iş ilişkileri nedeniyle risk niceleme aracı seçimlerinin kendileri için yapıldığını göreceklerdir.
Bir risk ölçüm aracı seçme özgürlüğüne (veya angaryasına) sahip kuruluşlar için sorulacak ilk soru, risk miktarının ölçülmesinin neden önemli olduğudur. Açık bir cevabı olan bir soru gibi görünebilir, ancak çoğu durumda kararı yönlendiren birincil bir ihtiyaç olacaktır. Ve bu birincil ihtiyaç, araç seçimini de yönlendirmelidir. Kurumsal riski ölçmek ne basit ne de ucuzdur, bu nedenle araç seçiminin ihtiyaca mümkün olduğunca tam olarak uyması önemlidir.
Kuruluşun finansal riski ölçmesinin belirli bir yolu var mı? Riski ölçmenin veya ifade etmenin belirli bir yolundan fayda sağlayacak gelecekteki ortaklıklar veya satış çabaları için planlar var mı? Kartlarda sigorta sağlayıcı değişikliği var mı? Bunlardan herhangi biri veya tümü, kuruluşun ihtiyaçlarına en uygun araç üzerinde bir etkiye sahip olabilir. Potansiyel ortaklara veya sağlayıcılara soru sormak, organizasyonu gelecekteki ihtiyaçları karşılayacak şekilde konumlandırırken acil ihtiyacı karşılayacak bir araç bulma olasılıklarını da açabilir.
Siber riskin ölçülmesi, artan sayıda kuruluş için bir gerekliliktir. Bu riski ölçmek için aracı seçerken doğru yaklaşımı benimsemek, süreci mümkün olduğunca değerli ve etkili kılmak için uzun bir yol kat edecektir.