Klar og effektiv kommunikation af it-risiko er ofte det manglende led mellem de tekniske teams og de strategiske beslutningstagere. It-professionelle forstår som regel kompleksiteten i truslerne, men at omsætte den viden til konkrete indsigter, der giver mening for ledelse og bestyrelse, er fortsat en stor udfordring. Denne manglende sammenhæng kan betyde, at organisationer enten undervurderer potentielle tab eller investerer for meget i områder, der ikke adresserer de mest presserende sårbarheder.
For at illustrere dette kan vi se på to scenarier: Bob og Alice, begge CISO’er i lignende virksomheder, skal præsentere deres it-risikobillede for bestyrelsen. Hvor Bob kæmper med at give meningsfulde svar på kritiske spørgsmål om risiko og håndtering, leverer Alice en klar, kvantificeret analyse, der gør bestyrelsen i stand til at træffe velinformerede beslutninger. Disse kontrasterende tilgange viser vigtigheden af at bevæge sig ud over kvalitative beskrivelser og i stedet anvende en databaseret, kvantitativ tilgang til kommunikation af it-risiko.
Mød Bob
Bob er CISO i en mellemstor produktionsvirksomhed med knap 300 ansatte. Bestyrelsen har bedt ham præsentere virksomhedens It-risiko og it-sikkerhed i lyset af den seneste geopolitiske udvikling.
Bob rejser sig selvsikkert, og peger på skærmen;
”Vores it sikkerhed er god, men der også steder hvor vi kan blive bedre. Vi overholder 79 ud af 83 kontroller, og har ikke haft et it-angreb det seneste år. Truslen fra cyberangreb er dog stadig meget høj, og konsekvenserne kan også blive alvorlige. Derfor er den risiko rød. Som I kan se er de øvrige 25 risici enten gule eller grønne…” siger han, mens han peger på risikomatricen på skærmen.
Det første spørgsmål kommer:
”Hvad betyder den her trussel for os? Skal vi forvente at blive ramt? Hvor dyrt kan det blive for os?”
Bob tøver… En anden spørger:
”Vi forstår godt at truslen er alvorlig. Hvor meget kan vi forsikre os ud af? Hvor mange penge bør vi sætte af til at håndtere den trussel?”
Bob forsøger:
”Vi har jo en cyberforsikring, som kan dække noget…”
Fra enden af bordet lyder det endeligt:
”Hvad gør vi med de gule risici? Hvor mange af dem kan vi tåle at se før de bliver lige så dyre som den røde?”
”Det… Det er vi nødt til at undersøge nærmere, men jeg har ikke tallene lige nu.”
får Bob fremstammet, mens han langsomt sætter sig ned.
Mød alice
På den anden side af gaden har Alice netop begyndt sin præsentation for sin bestyrelse. Alice er CISO hos en tæt konkurrent til Bobs virksomhed.
Hun tager ordet:
”Vores it-risikoniveau er generelt under vores appetit. Vi forventer et gennemsnitligt årligt tab på 6,4 mio. kr. fordelt på de 26 identificerede risikohændelser. Det dækker over en pulje mere sandsynlige scenarier med væsentligt lavere udgifter, og enkelte potentielt meget dyre hændelser. Vi vurderer at der er en 5% sandsynlighed for at vi vil opleve tab som overstiger 20 mio. kr. Dette er primært drevet af truslen fra ransomwareangreb.”
Det første spørgsmål lyder:
”Hvor dyrt kan det blive for os hvis vi bliver ramt af et ransomware-angreb?”
Alice bladrer i sine noter…
”Et scenarie hvor vi bliver ramt af et ransomwareangreb ventes at kunne ske med 5% til 25% sandsynlighed, og vil i 9 ud af 10 tilfælde ikke blive dyrere end 10 mio. kr.” De resterende 10% af hændelser kan altså blive dyrere.
Fra bordenden lyder det:
”Hvor meget vil det koste at nedbringe risikoen så kun 5% af hændelserne bliver dyrere end 10 mio. kr?”
Alice svarer uden tøven;
”Med den anbefalede plan for risikoreduktion som vi præsenterer, forventer vi at kunne nedbringe sandsynligheden for tab over 10 mio. kr. fra scenariet til 7%. Den plan dækker også tiltag som reducerer mere hyppige scenariers sandsynlighed.
Den vil koste cirka 400.000 kr. at implementere over det kommende år, og nedbringer det gennemsnitligt årlige tab fra 6,4 mio. kr. til 5,6 mio. kr…
Jeg vil gerne undersøge hvad det vil koste at nedbringe den sandsynlighed yderligere, og præsentere det for jer senere. Det vil forventeligt kræve at vi igangsætter mere omfattende tiltag, som vil kræve et større budget end i dag.”
”Tak, det ser vi frem til at høre om. Så må vi finde de penge til dig”, afslutter bestyrelsen.
Hvem vil du være?
Gennem vores arbejde med kvantitative IT-risikovurderinger har vi mødt
mange der præsenterer risiko som Bob. Men heldigvis ser vi også flere og flere som Alice – Som forstår værdien i at kommunikere it-risiko til direktionen og bestyrelsen i sandsynligheder og økonomiske omkostninger.
Risiko er ofte komplekst, og ingen modeller er 100% præcise. Men kun ved at modellere kan vi sammenligne vores risici på en systematisk, videnskabeligt velfunderet og gennemsigtig måde. Det giver os den bedste beslutningsstøtte.
Vil du også gerne være mere som Alice?
Se nogle af vores tidligere webinarer og bliv klogere på hvordan du kommunikerer risiko på den bedste måde: https://www.acirm.dk/webinarer-og-events/