ITWatch

Klumme: Er du over- eller underforsikret mod cyberangreb?

Cyberrisiko er højt på agendaen, men hvordan direktionen og bestyrelsen rent faktisk skal håndtere området, er straks sværere. Uhensigtsmæssig kommunikation forvirrer og fører typisk til overforsikring, skriver Bo Thygesen, Partner & Direktør hos ACI i denne klumme.

DSB, 7-Eleven, William Demant og Mærsk. Fire cases, som har været med til at sætte intensivt fokus på cyberangreb. Men én ting er opmærksomhed, noget andet er involvering og håndtering. Hvis bestyrelser og direktioner skal være en aktiv medspiller i nedbringelsen af cyberrisiko, kræver det faktabaseret ledelsesinformation af høj kvalitet. Information, der også kan afhjælpe overforsikring.

Et sprog alle kan forstå

Cyberrisikostyring kræver klar og praktisk kommunikation. Desværre hører jeg ofte om kommunikation til bestyrelsen og direktionen, der er enten for teknisk eller for abstrakt. Eksempler er IT-risikomatricer eller unødigt detaljerede IT-rapporteringer, som redegør for alle IP-adresser. Ubrugeligt og forvirrende. Kommunikation, som skaber uklarhed og svækker beslutningsgrundlaget, hvilket i sidste ende får mange virksomheder til at købe en alt for dyr forsikring.

Løsningen er at udtrykke tab i kroner og sandsynlighed i procent per år. Det er et sprog, alle kan forstå og handle på, ligesom det giver mulighed for at sammenligne områder med risiko.

Gang på gang oplever jeg, at et solidt beslutningsgrundlag for ledelsen og bestyrelsen indeholder seks nøgletal for cyberrisikostyring. Tallene skaffes ved en kvantitativ risikovurdering og hjælper organisationer med at træffe taktiske og strategiske beslutninger.

  • Det forventede årlige tab i kroner. Tallet giver overblik ved at vise det samlede gennemsnitlige tab fra alle belyste cyberscenarier. Både de hyppige med små tab og de sjældne med dyre tab.
  • Det forventede årlige tab i kroner pr. område. Tallene giver mulighed for at sammenligne it-risikoområder, altså cyber, interne fejl, outsourcing, compliance og fysiske hændelser, og fordele ressourcer hensigtsmæssigt.
  • Det mest sandsynlige tab ved cyberhændelser. Tallet viser, hvor tabsfordelingen topper. Et nøgletal, som også beskriver hændelser, som ikke giver ekstreme tab, men nedetid og mistede data.
  • Sandsynligheden for cyberhændelser. Tallet, som er angivet i procent per år, hjælper med at justere fokus og indsats.
  • Sandsynligheden for tab større end [INDSÆT VÆRDI]. Tallet, som er angivet i procent, giver indblik i behovet for operationelle hensættelser
  • 99%-fraktilen for et cyberangreb. Tallet beskriver, at 99% af cyberangrebene vil ligge under dette beløb. Afstemmer forventninger omkring budgetteringer.

Er din organisation overforsikret?

Brugbar cyberrisikostyring kan altid besvare disse otte grundlæggende spørgsmål:

  1. Hvad er det samlede risikoniveau på cyberområdet?
  2. Hvordan ser en typisk cyberhændelse imod vores virksomhed ud?
  3. Hvad er sandsynligheden for et typisk og et ekstremt cyberangreb?
  4. Hvordan er min risiko sammenholdt med andre virksomheder i min branche?
  5. Hvor er jeg sårbar overfor disse angreb?
  6. Hvor meget kan et ekstremt cyberangreb koste mig?
  7. Hvad er prisen for og effekten af nedbringelse af cyberrisiko?
  8. Kan din cyberforsikring betale sig?

Svarene på disse spørgsmål er den brugbare information, som klæder bestyrelsen og direktionen på i forhold til cyberrisikostyring. Ja, det kan virke skræmmende at sætte tal på cyberrisko, men det er et nødvendigt første skridt mod at nedbringe IT-risici. Ofte giver det én selv og bestyrelsen en vis ro i maven, når man har set disse tal for sig.

Inddrag bestyrelsen og direktionen i IT-risikostyringen. Drøft, hvad de forventer af information og hvordan de skal forstå disse informationer. Klæd dem ordentligt på. Så vil du få en topledelse og bestyrelse, som ikke alene er opmærksomme på området, men også involverer sig i området.

Kun med disse svar, tal og en engageret bestyrelse og direktion, finder du ud af, om din cyberforsikring kan betale sig eller om du er overforsikret mod cyberrisiko.

Klumme: Byd de digitale tvillinger velkommen

Klumme: Data-analystiske færdigheder er kritiske for konkurrencefordelen

Mere fra ITWatch

Ericsson: De næste fem år vil vores dataforbrug eksplodere

Om blot fem år vil antallet af 5G-abonnementer i verden runde fem milliarder og 80 procent af alle mobile bredbåndsabonnementer vil være baseret på 5G. Sådan lyder et par forudsigelser fra Ericssons årlige rapport om de kommende år på mobilområdet.

Læs også

Relaterede

Seneste nyt

ITWatch job

Se flere jobs

Se flere jobs

Watch job

Se flere jobs

Se flere jobs