Kiberriska kvantitatīva novērtēšana NIS2 un DORA vajadzībām

Valdes sēde, kurā ar “augstu risku” vairs nepietika

Ir otrdienas rīts, 08:15. Strauji augoša fintech uzņēmuma informācijas drošības vadītājs (CISO) stāv pie valdes sēžu telpas ar trim viena un tā paša kiberriska stāsta versijām.

Pirmā versija ir pazīstama: izspiedējprogrammatūra ir “augsts” risks, mākoņpakalpojuma nepieejamība ir “augsts” risks, piegādātāja kompromitēšana ir “vidējs” risks, priviliģētās piekļuves ļaunprātīga izmantošana ir “augsts” risks. Tā ir aizstāvama, saskaņota ar pašreizējo riska reģistru un gandrīz nederīga lēmumam, kas jāpieņem valdei.

Otrā versija ir tehniskā ceļakarte: ieviest nemaināmas rezerves kopijas, uzlabot identitātes kontroles pasākumus, finansēt noturības testēšanu, pastiprināt piegādātāju uzraudzību un paplašināt žurnālierakstu pārklājumu. Tā ir pamatota, bet finanšu direktors (CFO) uzdod jautājumu, kas maina sēdes virzienu: “Kurš no šiem pasākumiem samazina visvairāk darbības riska uz vienu eiro?”

Trešā versija maina sarunu.

12 stundu maksājumu orkestrācijas platformas nepieejamības bruto ietekme uz darbību, līgumsaistībām un ieņēmumiem tiek lēsta €620 000 apmērā. Pašreizējā gada riska ekspozīcija tiek lēsta €186 000 apmērā. €74 000 noturības pasākumu kopums var samazināt sagaidāmos gada zaudējumus līdz aptuveni €62 000. Atlikusī riska ekspozīcija joprojām pārsniedz tolerances līmeni, jo pakalpojums atbalsta kritisku vai svarīgu funkciju, klientu informēšanas riska ekspozīcija saglabājas būtiska un atkarība no trešās puses ir augsta.

Tagad valde nediskutē par krāsām. Tā apspriež finansiālo riska ekspozīciju, riska toleranci, regulatīvo pārskatatbildību un investīciju prioritātes.

Tāda ir kiberriska kvantitatīva novērtēšana 2026. gadā. Tā nav matemātiska izrāde. Tā neizliekas, ka kiberincidentus var paredzēt ar pilnīgu precizitāti. Tā ir disciplinēta pāreja no “tas ir sarkans” uz “tāda ir ticamā finansiālā riska ekspozīcija, tāds ir pārliecības līmenis, tādas ir regulatīvās sekas, tāds ir apstrādes lēmums un tāda ir pierādījumu izsekojamība”.

CISO, atbilstības vadītājiem, auditoriem un uzņēmumu īpašniekiem šī pāreja praksē kļūst obligāta. ISO/IEC 27001:2022 prasa dokumentētu, konsekventu un salīdzināmu riska novērtēšanas un riska apstrādes procesu. NIS2 pārceļ kiberdrošības risku uz vadības struktūras apstiprināšanu, pārraudzību, apmācību un atbildību. DORA finanšu iestādēm centrā izvirza IKT risku pārvaldību, noturības testēšanu, incidentu klasifikāciju, trešo pušu risku un vadības struktūras pārskatatbildību. NIST CSF 2.0 sniedz vadībai pārvaldības valodu riska apetītei, prioritizācijai un pārraudzībai. GDPR pievieno pārskatatbildību, ja ir iesaistīti personas dati.

Problēma nav tajā, ka organizācijām trūktu riska reģistru. Problēma ir tajā, ka daudzi riska reģistri nespēj izskaidrot naudu, prioritātes, valdes pārskatatbildību vai audita pierādījumus.

Clarysec pieeja šo plaisu aizver, apvienojot Zenith Blueprint: An Auditor’s 30-Step Roadmap Zenith Blueprint, Clarysec politikas un Zenith Controls: The Cross-Compliance Guide Zenith Controls vienā praktiskā pierādījumu modelī: kvantificēt būtisko, kartēt to uz kontroles pasākumiem, parādīt, kurš to apstiprināja, un pierādīt, ka apstrāde darbojas.

Kāpēc ar kvalitatīviem riska reģistriem vairs nepietiek

Kvalitatīva riska novērtēšana joprojām ir svarīga. Skaidra varbūtības un ietekmes matrica palīdz komandām noteikt prioritātes, kad dati ir nepilnīgi, īpaši plašā IDPS darbības jomā. Problēma sākas tad, kad organizācija pie tā apstājas.

Valde var saprast, ka risks ir “augsts”, bet tai ir grūti salīdzināt trīs “augstus” riskus, kas konkurē par vienu un to pašu budžetu. Vai augstākā prioritāte ir izspiedējprogrammatūras scenārijs, mākoņpakalpojuma nepieejamība, piegādātāju koncentrācijas risks vai priviliģētās piekļuves vājā vieta? Atbilde ir atkarīga no finansiālās riska ekspozīcijas, regulatīvā smaguma, ietekmes uz klientiem, līgumiskajām prasībām, pakalpojuma kritiskuma un atlikušā riska pēc apstrādes.

Tāpēc kiberriska kvantitatīva novērtēšana vislabāk darbojas kā hibrīds modelis. Nekvantificējiet katru maznozīmīgu jautājumu. Izmantojiet kvalitatīvu vērtēšanu visā reģistrā, pēc tam pievienojiet finanšu analīzi tiem riskiem, kuriem nepieciešami vadības lēmumi, investīciju apstiprinājums, līgumiska rīcība, riska pārnešana vai valdes pārraudzība.

Clarysec Enterprise Riska pārvaldības politika Riska pārvaldības politika to skaidri atbalsta. Sadaļas “Politikas ieviešanas prasības” 6.2.3. punktā ir noteikts:

“Atkarībā no riska kategorijas un informācijas pieejamības var piemērot gan kvalitatīvas, gan kvantitatīvas metodes.”

Šis punkts ir svarīgs, jo tas novērš biežu kļūdu: šķietamu precizitāti. Nobriedušas organizācijas neuzspiež finanšu modelēšanu katram mazam riskam. Tās to piemēro tur, kur lēmumam tā ir nepieciešama.

MVU pamats var palikt vienkāršs. Clarysec MVU Riska pārvaldības politika Riska pārvaldības politika — MVU, sadaļas “Pārvaldības prasības” 5.1.2. punkts nosaka:

“Katrā riska ierakstā jāiekļauj: apraksts, varbūtība, ietekme, vērtējums, īpašnieks un riska apstrādes plāns.”

Uzlabojums nav šīs struktūras aizstāšana. Uzlabojums ir svarīgāko ierakstu papildināšana ar finanšu aplēsēm, īpaši gadījumos, kad iesaistīta dīkstāve, regulēti pakalpojumi, personas dati, mākoņpakalpojumu atkarība, IKT ārpakalpojumi vai kritiskas klientu saistības.

Pārvaldības maiņa: kiberrisks tagad ir valdes artefakts

Kiberriska kvantificēšana nav tikai finanšu uzdevums. Tā ir pārvaldības pierādījums.

Saskaņā ar ISO/IEC 27001:2022 organizācijai jānosaka konteksts, ieinteresētās puses, juridiskās un līgumiskās prasības, darbības joma, saskarnes un atkarības. Tai jādefinē informācijas drošības riska novērtēšanas process, kas nodrošina konsekventus, derīgus un salīdzināmus rezultātus. Tai jāidentificē riski konfidencialitātei, integritātei un pieejamībai, jānosaka risku īpašnieki, jāizvērtē sekas un varbūtība, jānosaka riska līmeņi un jāprioritizē riski. Pēc tam tai jāizvēlas apstrādes iespējas, jānosaka kontroles pasākumi, jāsalīdzina tie ar Annex A, jāsagatavo Piemērojamības paziņojums, jāsaņem riska īpašnieka apstiprinājums un jāsaglabā dokumentēta informācija.

Tas nozīmē, ka riska reģistrs nav drošības komandas privāta izklājlapa. Tas ir IDPS ieraksts, kas sasaista vadību, kontroles pasākumu atlasi, apstrādes pārskatatbildību un vadības pārskatīšanu.

NIS2 paaugstina gaidas vēl vairāk. Būtisko un svarīgo vienību vadības struktūrām jāapstiprina kiberdrošības riska pārvaldības pasākumi, jāpārrauga ieviešana un jāsaņem apmācība, lai tās saprastu riskus un spētu izvērtēt kiberdrošības praksi. NIS2 Article 21 prasa piemērotus un samērīgus tehniskus, operacionālus un organizatoriskus pasākumus, ņemot vērā jaunāko tehnoloģiju līmeni, ieviešanas izmaksas, riska ekspozīciju, vienības lielumu, varbūtību, smagumu un sabiedrisko un ekonomisko ietekmi.

Frāze “sabiedriskā un ekonomiskā ietekme” ir vieta, kur finansiāla kiberriska kvantificēšana kļūst īpaši nozīmīga. Pakalpojumu sniedzējam, kas atbalsta mākoņpakalpojumus, datu centrus, DNS, uzticamības pakalpojumus, pārvaldītos pakalpojumus, pārvaldītos drošības pakalpojumus, digitālo infrastruktūru, tiešsaistes tirdzniecības vietas vai citas aptvertās nozares, var nākties parādīt ne tikai to, ka kontroles pasākumi pastāv, bet arī to, kāpēc tie ir samērīgi pret riska ekspozīciju.

Finanšu iestādēm DORA piemēro no 2025. gada 17. janvāra, un tā kļūst par nozarei specifisku digitālās darbības noturības režīmu. Tā aptver IKT risku pārvaldību, būtisku ar IKT saistītu incidentu ziņošanu, digitālās darbības noturības testēšanu, kiberdraudu informācijas apmaiņu, IKT trešo pušu risku un kritisku IKT trešo pušu pakalpojumu sniedzēju pārraudzību. Finanšu iestādēm, kas vienlaikus identificētas saskaņā ar NIS2 nacionālo transponēšanu, DORA attiecīgajos IKT risku pārvaldības un incidentu ziņošanas jautājumos darbojas kā nozarei specifisks Savienības tiesību akts.

Praksē fintech uzņēmumam nav vajadzīgi pieci savstarpēji nesaistīti risku ietvari. Tam vajadzīgs viens integrēts riska modelis, kas parāda, kurš režīms piemērojams, kādas atkarības pastāv, kāda finansiālā riska ekspozīcija ir ticama un kā vadība apstiprināja un uzraudzīja apstrādi.

GDPR pievieno vēl vienu slāni. Ja iesaistīti personas dati, kibernotikums var kļūt par personas datu aizsardzības pārkāpumu, nevis tikai par darbības incidentu. Riska modelim jāidentificē apstrādes konteksts, pārziņa vai apstrādātāja loma, datu kategorijas, īpašu kategoriju dati, kur tas ir būtiski, drošības pasākumi, pārkāpuma izvērtēšanas loģika un paziņošanas sekas.

No siltuma kartes uz eiro: praktiskais hibrīdais modelis

Pareizais jautājums nav: “Vai mums jāaizstāj kvalitatīvā riska novērtēšana?” Pareizais jautājums ir: “Kuri riski ir pelnījuši finansiālu kvantificēšanu?”

Zenith Blueprint, Riska pārvaldības posma 12. solis “Riska novērtēšanas metodes: kvalitatīvās un kvantitatīvās” sniedz praktisku atbildi:

“Kvantitatīva riska novērtēšana mēģina novērtēt risku skaitliskā izteiksmē (piemēram, sagaidāmos gada zaudējumus valūtā). Tas bieži ietver:

✓ Vēsturisko incidentu datu apkopošanu (piemēram, cik bieži notiek pārkāpums, kādas ir vidējās izmaksas). ✓ Tādu modeļu izmantošanu kā Annualized Loss Expectancy (ALE = Single Loss Impact × Annual Rate of Occurrence) vai tādu ietvaru kā FAIR (Factor Analysis of Information Risk) izmantošanu sarežģītākai analīzei.”

Tas pats solis brīdina, ka pilnībā kvantitatīva analīze MVU var būt sarežģīta, jo vēsturiskie dati var būt ierobežoti un process var prasīt daudz resursu. Praktiskā atbilde ir “vieglā kvantitatīvā” analīze būtiskākajiem riskiem.

Skaitļiem nav jābūt perfektiem. Tiem jābūt izskaidrotiem. Ietekmes pieņēmumos var ietvert ieņēmumu zudumu, SLA kredītus, klientu kompensācijas, reaģēšanu uz incidentiem, juridiskās konsultācijas, digitālās kriminālistikas atbalstu, virsstundas, klientu atbalstu, regulatīvās paziņošanas darbu, klientu aizplūšanu un reputācijas ietekmi. Biežuma pieņēmumi var balstīties uz iekšējiem incidentiem, piegādātāju nepieejamības pārskatiem, draudu izlūkošanu, nozares pieredzi, ievainojamību ekspozīciju, audita konstatējumiem un kontroles pasākumu briedumu.

Zenith Blueprint, Riska pārvaldības posma 10. solis “Riska kritēriju un ietekmes matricas izveide” skaidro, kāpēc modelis ir jākalibrē:

“Definējot ietekmi, līmeņus ir lietderīgi sasaistīt ar konkrētās organizācijas mērogu. Piemēram, ‘būtiska finansiāla ietekme = zaudējumi > $100k’ (pielāgojiet savam kontekstam). Ņemiet vērā arī regulatīvo ietekmi: piemēram, personas datu aizsardzības pārkāpums automātiski var būt ‘būtisks’ vai ‘smags’ GDPR sodu un paziņošanas prasību dēļ, pat ja tiešais finansiālais zaudējums nav skaidrs.”

Tas ir tilts starp kvalitatīvo un kvantitatīvo risku. “Būtisks” iegūst nozīmi tikai tad, kad organizācija definē, ko būtiskums nozīmē finanšu, darbības, juridiskā un klientu kontekstā.

Praktisks piemērs: piegādātāja mākoņpakalpojuma nepieejamības riska kvantificēšana

Iedomājieties SaaS pakalpojumu sniedzēju, kas apkalpo finanšu nozares klientus. Tas ir atkarīgs no mākoņmitināšanas sniedzēja, pārvaldītas datubāzes platformas, maksājumu vārtejas un klientu paziņošanas pakalpojuma. Komanda kvantitatīvai analīzei izvēlas vienu scenāriju:

“Ilgstoša pārvaldītas datubāzes platformas nepieejamība izraisa klientiem pieejama pakalpojuma darbības traucējumus un kavētu darījumu apstrādi.”

1. solis: definēt riska scenāriju un īpašnieku

MVU Riska pārvaldības politika prasa aprakstu, varbūtību, ietekmi, vērtējumu, īpašnieku un riska apstrādes plānu. Enterprise Riska pārvaldības politika, sadaļas “Pārvaldības prasības” 5.2.2. punkts piebilst, ka reģistrā:

“Iekļauj riska īpašniekus, ietekmes un varbūtības vērtējumus, riska apstrādes plānus, termiņus un atsauces uz kontroles pasākumiem”

Īpašnieks nav “IT”. Pārskatatbildīgais īpašnieks ir pakalpojuma īpašnieks, kuru atbalsta CISO, CTO, atbilstības vadītājs, piegādātāju vadītājs un finanšu funkcija.

2. solis: aplēst finansiālo riska ekspozīciju

Komanda aplēš:

• €35 000 stundā zaudētos darījumu ieņēmumos un SLA kredītos
• €8 000 stundā atbalsta, eskalācijas un incidentu apstrādes izmaksās
• €60 000 klientu trūkumu novēršanas un komunikācijas izmaksās
• €120 000 potenciālajā klientu aizplūšanā vai komerciālajā ietekmē
• 10 stundas kā ticamu smagas nepieejamības ilgumu, pamatojoties uz piegādātāja vēsturi un arhitektūras izvērtējumu

Viena zaudējuma ietekme ir:

10 × (€35 000 + €8 000) + €60 000 + €120 000 = €610 000

Pašreizējā varbūtība tiek lēsta 0,25 gadā. Gada sagaidāmie zaudējumi ir:

€610 000 × 0,25 = €152 500

Ierosinātais apstrādes pasākumu kopums ietver vairāku reģionu pārslēgšanās uz rezerves vidi risinājumu, testētu rezerves kopiju atjaunošanu, piegādātāja SLA pārskatīšanu, sintētisko uzraudzību, galda mācības un izstāšanās plāna atjaunināšanu. Pirmā gada izmaksas ir €82 000, un atkārtotās izmaksas — €34 000.

Pēc apstrādes atlikusī varbūtība tiek lēsta 0,10 gadā, bet atlikusī viena zaudējuma ietekme — €350 000, jo atjaunošana notiek ātrāk. Atlikusī ALE ir:

€350 000 × 0,10 = €35 000

Pirmā gada sagaidāmās gada riska ekspozīcijas samazinājums ir aptuveni €117 500, pirms tiek ņemta vērā regulatīvā noturība, klientu uzticēšanās un līgumiskie ieguvumi.

3. solis: izvēlēties apstrādi un dokumentēt pamatojumu

Riska apstrāde ne vienmēr ir tikai mazināšana. Clarysec MVU Riska pārvaldības politika, sadaļas “Politikas ieviešanas prasības” 6.1.3. punkts nosaka:

“Pārnešana: izmantojiet līgumus, pakalpojumu līmeņa vienošanās vai apdrošināšanu, lai pārnestu risku ārēji.”

Šajā scenārijā organizācija izvēlas jauktu apstrādi: samazināt risku ar tehnisko noturību, daļu pārnest ar SLA un līgumiskās aizsardzības līdzekļiem un pieņemt atlikušo risku ar vadības apstiprinājumu.

4. solis: kartēt apstrādi uz Piemērojamības paziņojumu

Enterprise Riska pārvaldības politika, sadaļas “Piemērojamības paziņojuma (SoA) saskaņošana” 6.5.1. punkts nosaka:

“Kontroles pasākumu lēmumi, kas izriet no riska apstrādes procesa, jāatspoguļo SoA.”

Šeit finanšu modelis kļūst gatavs auditam. Piegādātāja nepieejamības scenārijs sasaistās ar ISO/IEC 27001:2022 Annex A piegādātāju, mākoņpakalpojumu, nepārtrauktības, incidentu un traucējumu kontroles pasākumiem. Tas sasaistās arī ar NIS2 piegādes ķēdes drošību un darbības nepārtrauktību, DORA IKT trešo pušu risku un noturības testēšanu, GDPR drošību un pārkāpuma izvērtēšanu, ja skarti personas dati, kā arī NIST CSF pārvaldības, piegādes ķēdes, reaģēšanas un atjaunošanas rezultātiem.

Zenith Blueprint, Riska pārvaldības posma 13. solis “Riska apstrādes plānošana un Piemērojamības paziņojums” skaidro izsekojamību:

“SoA faktiski ir sasaistes dokuments: tas sasaista jūsu riska novērtēšanu/apstrādi ar faktiskajiem kontroles pasākumiem, kas jums ir. To aizpildot, jūs arī vēlreiz pārbaudāt, vai nav palaisti garām kādi kontroles pasākumi.”

Spēcīgs SoA pamatojums varētu būt šāds: “Piemērojams, jo pārvaldītas datubāzes nepieejamība ietekmē kritisku klientu pakalpojumu, IKT trešo pušu atkarību, klientu līgumiskās saistības, nepārtrauktības saistības un potenciālu personas datu pieejamību. Kontroles pasākumi atlasīti, lai samazinātu kvantificētu €152 500 gada riska ekspozīciju un atbalstītu vadības apstiprinātu atlikušo risku.”

5. solis: eskalēt atbilstoši sliekšņiem

Enterprise Riska pārvaldības politika, sadaļas “Pārvaldības prasības” 5.6. punkts prasa:

“Riska pilnvaru matricā skaidri jādefinē sliekšņi eskalācijai augstākajai vadībai vai valdei.”

€152 500 gada riska ekspozīcija var pārsniegt vietējās vadības toleranci. Zemākas vērtības risks joprojām var prasīt eskalāciju, ja tas ietekmē kritisku vai svarīgu funkciju, aktivizē DORA gaidas, ietver personas datus, apdraud klientu saistības vai rada NIS2 vadības struktūras pārskatatbildību.

Dažādu atbilstības prasību kartēšana: viens kvantificēts risks, daudzi pienākumi

Kvantificēts kiberrisks nav jākopē piecās atsevišķās atbilstības izklājlapās. Tam jākļūst par vienu riska objektu ar vairākiem atbilstības skatījumiem.

NIS2 Article 21 ir īpaši būtisks, jo tas ietver riska analīzi, drošības politikas, incidentu apstrādi, darbības nepārtrauktību, rezerves kopiju veidošanu, avārijas atjaunošanu, krīzes pārvaldību, piegādes ķēdes drošību, drošu izstrādi, ievainojamību pārvaldību, efektivitātes izvērtēšanu, kiberdrošības higiēnu, apmācību, kriptogrāfiju, personāla drošību, piekļuves kontroli, aktīvu pārvaldību un autentifikāciju.

DORA finanšu iestādēm rada līdzīgu disciplīnu, bet ar nozarei specifisku fokusu. Tā prasa iekšēju pārvaldības un kontroles ietvaru IKT riskam, kurā galīgā atbildība ir vadības struktūrai. Tā sagaida IKT politiku, lomu, digitālās darbības noturības stratēģijas, IKT riska tolerances, nepārtrauktības un reaģēšanas plānu, audita plānu, budžetu, apmācības, IKT trešo pušu politiku un ziņošanas kanālu apstiprināšanu un pārraudzību.

DORA arī piešķir kvantitatīvai riska novērtēšanai tiešu darbības trigeri: incidentu klasifikāciju. Būtiski ar IKT saistīti incidenti jāklasificē, izmantojot tādus kritērijus kā ietekmētie klienti, darījumu partneri un darījumi, ilgums, dīkstāve, ģeogrāfiskā izplatība, datu zudumi, kas ietekmē pieejamību, autentiskumu, integritāti vai konfidencialitāti, skarto pakalpojumu kritiskums un ekonomiskā ietekme. Ja riska modelis jau aplēš dīkstāvi, ietekmi uz klientiem, datu ietekmi un ekonomiskos zaudējumus, tas atbalsta incidenta klasifikāciju reāla notikuma gadījumā.

Kontroles pasākumu sasaistes matrica, kas padara valdes pārskatatbildību auditējamu

Zenith Controls ietvaros Clarysec kartē ISO/IEC 27002:2022 kontroles pasākumu 5.4 “Vadības atbildība” kā pārvaldības enkuru informācijas drošības pārskatatbildībai. Ceļvedis to traktē kā preventīvu pasākumu, kas atbalsta konfidencialitāti, integritāti un pieejamību, ir saskaņots ar kiberdrošības konceptu “Identify”, ar pārvaldību kā operacionālo spēju un pārvaldību kopā ar ekosistēmu kā drošības jomām.

Tas ir svarīgi, jo finansiālā kiberriska ekspozīcija pieder vadības lēmumu pieņemšanai. Zenith Controls sasaista ISO/IEC 27002:2022 kontroles pasākumu 5.4 ar vairākiem atbalstošiem kontroles pasākumiem:

Zenith Controls arī kartē vadības pienākumus uz ISO/IEC 27001:2022 punktiem 5.1, 5.2 un 9.3, sasaistot līderību, politiku un vadības pārskatīšanu. Turklāt tas kartē uz ISO/IEC 27014:2020 punktiem 6 un 7, kas koncentrējas uz pārvaldības ietvariem un procesiem informācijas drošības izvērtēšanai, virzīšanai, uzraudzībai un komunikācijai.

Pierādījumu ķēde ir vienkārša:

1. Vadība definē apetīti, toleranci un eskalācijas sliekšņus.
2. Riska īpašnieki kvantificē būtiskākos kiberriskus.
3. Kontroles pasākumi tiek atlasīti un atspoguļoti SoA.
4. Riska apstrādes darbības tiek izpildītas un uzraudzītas.
5. Neatkarīga pārskatīšana un atbilstības uzraudzība pārbauda efektivitāti.
6. Vadības pārskatīšana izvērtē veiktspēju, incidentus, audita rezultātus, resursus un uzlabošanas darbības.
7. Valde saņem finansiālo riska ekspozīciju, atlikušo risku un pārskatatbildības pierādījumus biznesa valodā.

Clarysec MVU Riska pārvaldības politika, sadaļas “Lomas un pienākumi” 4.1.1. punkts nostiprina šo pārvaldības lomu:

“Nosaka organizācijas riska apetīti un apstiprina risku pārvaldības ietvaru.”

MVU gadījumā tas var būt ģenerāldirektors vai īpašnieks. Regulētā finanšu iestādē tā var būt vadības struktūra. Pārskatatbildības princips ir vienāds.

Kā auditori un regulatori pārbaudīs jūsu skaitļus

Kiberriska kvantitatīva novērtēšana netiks auditēta kā perfekta aktuāru zinātne. Tā tiks auditēta pēc metodes, konsekvences, izsekojamības, pārvaldības un pierādījumiem.

Clarysec Audita un atbilstības uzraudzības politika — MVU Audita un atbilstības uzraudzības politika — MVU, sadaļas “Pārvaldības prasības” 5.4.3. punkts padara audita ciklu skaidru:

“Audita konstatējumi un statusa atjauninājumi jāiekļauj IDPS vadības pārskatīšanas procesā.”

Tas ir kritiski. Ja riska modelis aplēš €500 000 riska ekspozīciju, bet iekšējais audits konstatē, ka atjaunošanas tests neizdevās, atlikušais risks jāmaina. Ja piegādātāja izstāšanās plāns nav testēts, organizācijai nevajadzētu pieņemt atlikušo risku tā, it kā kontroles pasākums būtu nobriedis. Ja DORA testēšana identificē kritisku trūkumu, šim konstatējumam jāietekmē apstrāde, budžets un vadības pārskatīšana.

Zenith Blueprint, Audita, pārskatīšanas un uzlabošanas posma 28. solis “Vadības pārskatīšana” to atbalsta, iesakot vadības pārskatīšanas ievaddatus, piemēram, izmaiņas iekšējos un ārējos jautājumos, regulatīvās prasības, audita rezultātus, uzraudzību un mērījumus, mērķus, incidentus, neatbilstības, uzlabošanas iespējas un resursu vajadzības. Kvantificēta kiberriska programmā vadības pārskatīšanas materiālos jāiekļauj būtiskākās finansiālās riska ekspozīcijas, tendence kopš iepriekšējās pārskatīšanas, apstrādes progress, kavētās darbības, atlikušais risks virs tolerances līmeņa un nepieciešamie lēmumi.

Valdei piemērotas kiberriska paketes izveide

Valdei piemērota kiberriska pakete nedrīkst noslīcināt direktorus ievainojamību skaitā, FAIR mainīgajos vai kontroles ID. Tai kiberrisks jāpārvērš lēmumos.

Par katru būtiskāko kvantificēto risku iekļaujiet:

• Scenārija nosaukumu un skarto biznesa pakalpojumu
• Pakalpojuma vai funkcijas kritiskumu
• Personas datu, regulēta pakalpojuma un piegādātāja atkarības atzīmes
• Pašreizējo viena zaudējuma ietekmes aplēsi
• Pašreizējo gada notikuma biežuma aplēsi
• Pašreizējos gada sagaidāmos zaudējumus
• Pieņēmumus un pārliecības līmeni
• Pašreizējos kontroles pasākumus un zināmos trūkumus
• Apstrādes iespējas un izmaksas
• Sagaidāmo atlikušo riska ekspozīciju pēc apstrādes
• ISO/IEC 27001:2022, NIS2, DORA un GDPR nozīmīgumu
• Riska īpašnieku un nepieciešamo lēmumu
• SoA un politiku atsauces
• Termiņu un pārskatīšanas datumu

Vienkāršots valdes skatījums varētu izskatīties šādi:

Skaitļi ir aplēses, bet pārvaldības vērtība ir reāla. Valde var salīdzināt prioritātes. CISO var pamatot izdevumus. Finanšu funkcija var validēt pieņēmumus. Atbilstības funkcija var sasaistīt lēmumus ar pienākumiem. Auditori var izsekot pierādījumu ķēdei.

Biežākās kļūdas, kvantificējot kiberrisku

Pirmā kļūda ir šķietama precizitāte. Modelis, kas apgalvo €487 239,17 zaudējumus bez skaidriem pieņēmumiem, ir mazāk ticams nekā diapazons ar dokumentētu pamatojumu. Izmantojiet diapazonus, kur tas ir piemēroti, un pārskatiet pieņēmumus pēc incidentiem, auditiem, piegādātāju izmaiņām un būtiskiem arhitektūras lēmumiem.

Otrā kļūda ir tikai tehnisko izmaksu skaitīšana. Būtisks kiberincidents var ietvert ieņēmumu zudumu, klientu kompensācijas, darbības traucējumus, regulatīvo ziņošanu, juridiskās konsultācijas, digitālās kriminālistikas atbalstu, komunikācijas izmaksas, līgumsodus, klientu aizplūšanu, vadības laiku un reputācijas ietekmi.

Trešā kļūda ir regulatīvā smaguma ignorēšana. Personas datu aizsardzības pārkāpums var būt būtisks pat tad, ja tiešais darbības zaudējums šķiet neliels. DORA incidents var būt nozīmīgs pakalpojuma kritiskuma, dīkstāves, datu zuduma vai ietekmēto klientu dēļ. NIS2 incidents var būt būtisks, ja tas izraisa smagus darbības traucējumus, finanšu zaudējumus vai ievērojamu kaitējumu citiem.

Ceturtā kļūda ir SoA neatjaunināšana. Ja apstrādes lēmumos tiek izvēlēta piegādātāju uzraudzība, mākoņpakalpojuma izstāšanās plānošana, incidentu pierādījumu vākšana, IKT gatavība darbības nepārtrauktībai vai traucējumu kontroles pasākumi, SoA jāatspoguļo piemērojamie kontroles pasākumi un ieviešanas statuss.

Piektā kļūda ir finanšu funkcijas neiesaistīšana. Kiberriska kvantitatīva novērtēšana ir visstiprākā tad, ja drošība, finanšu funkcija, Juridiskais dienests, operācijas, produkts un atbilstība vienojas par ietekmes pieņēmumiem. CISO nevajadzētu vienatnē izdomāt ieņēmumu zuduma skaitļus.

Sestā kļūda ir apdrošināšanas uzskatīšana par pilnīgu riska pārnešanu. Apdrošināšana var samazināt finansiālo ietekmi, bet tā nenoņem regulatīvo pārskatatbildību, pakalpojumu darbības traucējumus, kaitējumu klientu uzticēšanās līmenim vai vadības atbildību.

Kur iederas Clarysec

Clarysec palīdz organizācijām izveidot kiberriska programmu, kas ir pietiekami praktiska MVU un pietiekami stingra regulētām vidēm.

Zenith Blueprint vada organizāciju no darbības jomas un konteksta līdz riska kritērijiem, kvalitatīvai un kvantitatīvai novērtēšanai, apstrādes plānošanai, SoA izsekojamībai, auditam, vadības pārskatīšanai un uzlabošanai. Zenith Controls palīdz kartēt ISO/IEC 27001:2022 un ISO/IEC 27002:2022 kontroles pasākumu gaidas uz citiem ietvariem, auditiem un pārvaldības pienākumiem. Clarysec politikas nodrošina auditoru sagaidīto valodu, tostarp riska apetīti, pilnvaru matricas, apstrādes iespējas, Atbilstības reģistrus, SoA saskaņošanu un integrāciju vadības pārskatīšanā.

MVU Tiesiskās un regulatīvās atbilstības politika Tiesiskās un regulatīvās atbilstības politika — MVU, sadaļas “Pārvaldības prasības” 5.1.1. punkts sākas ar vienkāršu pienākumu:

“Ģenerāldirektoram jāuztur vienkāršs, strukturēts Atbilstības reģistrs, kurā uzskaitīts:”

Šis vienkāršais reģistrs ir svarīgs. Juridiskajiem, regulatīvajiem un līgumiskajiem pienākumiem jābūt redzamiem IDPS ietvaros. Kvantitatīvam riskam tas nozīmē, ka NIS2, DORA, GDPR, klientu līgumi, SLA, ārpakalpojumu pienākumi, incidentu ziņošanas pienākumi un audita saistības nosaka ietekmi, apstrādes prioritāti un eskalāciju.

Enterprise Riska pārvaldības politika, sadaļas “Atsauces standarti un ietvari” 11.9.1. punkts arī tieši atspoguļo DORA tipa pārvaldību:

“Article 5: nosaka dokumentētu IKT risku pārvaldības ietvaru, ko pilnībā aptver šīs politikas struktūra, tostarp SoA kartēšana un KRI.”

Tas ir Clarysec modelis vienā teikumā: dokumentēta IKT risku pārvaldība, kartēta uz kontroles pasākumiem, mērīta ar indikatoriem, pārskatīta vadībā un pamatota ar pierādījumiem auditam.

Nākamie soļi: padariet savu 2026. gada kiberriska reģistru finansiāli pamatotu

Ja jūsu pašreizējais kiberriska reģistrs joprojām saka “augsts”, nepaskaidrojot finansiālo riska ekspozīciju, apstrādes ekonomiku vai regulatīvo ietekmi, šajā ceturksnī sāciet ar piecām darbībām:

1. Atlasiet 5 līdz 10 būtiskākos kiberriska scenārijus pēc ietekmes uz darbību.
2. Definējiet finansiālās ietekmes sliekšņus līmeņiem mazsvarīgs, mērens, būtisks un smags.
3. Katram būtiskākajam scenārijam aplēsiet viena zaudējuma ietekmi, gada notikuma biežumu un gada sagaidāmos zaudējumus.
4. Kartējiet katru apstrādes lēmumu uz ISO/IEC 27001:2022 kontroles pasākumiem, SoA, NIS2 vai DORA pienākumiem, kur piemērojams, GDPR sekām un NIST CSF pārvaldības rezultātiem.
5. Vadības pārskatīšanā prezentējiet atlikušo risku, apstrādes izmaksas un eskalācijas sliekšņus.

Clarysec var palīdzēt to pārvērst atkārtojamā pierādījumu sistēmā, izmantojot Zenith Blueprint Zenith Blueprint, Zenith Controls Zenith Controls, Enterprise Riska pārvaldības politiku Riska pārvaldības politika, MVU Riska pārvaldības politiku Riska pārvaldības politika — MVU un atbalsta audita un atbilstības veidnes.

Mērķis nav padarīt kiberrisku pilnīgi paredzamu. Mērķis ir padarīt to izskaidrojamu, salīdzināmu, finansiāli nozīmīgu un auditējamu.

Lejupielādējiet Clarysec riska un atbilstības politiku veidnes, izpētiet Zenith Blueprint vai rezervējiet Clarysec izvērtēšanu, lai pārvērstu savu 2026. gada kiberriska reģistru valdei gatavos pierādījumos ISO/IEC 27001:2022, NIS2, DORA un GDPR vajadzībām.