Comment mesurer les risques de cybersécurité: un guide pour les petites et moyennes entreprises

Selon le Conference Council, la cybersécurité est une préoccupation majeure des PDG américains.

Et vraiment, qui peut leur en vouloir? Les accidents sont devenus Cybersécurité Plus répandue, elle comprend désormais d'importantes pertes financières et conduit à une perte de confiance des consommateurs.

Comment mesurer le risque de cybersécurité : un guide pour les PME - %categories

Selon Security Intelligence, vous allez probablement souffrir d'une violation de données qui compte 10000 148 enregistrements de plus que l'infection. La treizième étude annuelle sur les coûts de violation de données a révélé que pour chaque dossier réglé, les entreprises ont payé en moyenne 2018 $ en 3.86. En moyenne, les sociétés violées ont coûté XNUMX millions de dollars l'année dernière.

Bien sûr, les violations de données plus importantes sont très coûteuses. Les entreprises qui ont subi des violations de données impliquant moins de 10 000 enregistrements ont payé en moyenne 2.2 millions de dollars pour cet accident. Ce nombre a plus que triplé, ou 6.9 millions de dollars, pour les incidents impliquant 50000 XNUMX enregistrements ou plus.

Pour les violations massives, ou celles impliquant plus d'un million d'enregistrements, l'entreprise coûte en moyenne 39.49 millions de dollars. Le rapport indique également que la violation qui menace les informations de 50 millions de personnes vous giflera sur une facture de 350.44 millions de dollars.

Ce n'est que du côté de l'argent. La perte de confiance des consommateurs peut augmenter ce coût lorsque vous rencontrez des violations de données. Le rapport note qu'une entreprise qui perd moins de 2.8% de ses clients existants perdra 6 millions de dollars en raison de la violation. À quatre pour cent, vous pouvez perdre encore XNUMX millions de dollars en moyenne.

Avez-vous vraiment besoin de définir les risques de cybersécurité?

Oui

La principale raison pour laquelle vous devez déterminer la taille Risques de cybersécurité C'est pour vous aider à créer un budget technologique pour des informations plus efficaces. Avec toutes les violations du Big Data avec des sanctions majeures en vigueur en ce moment, nous comprenons pourquoi les dépenses technologiques dans les entreprises augmentent. Vous pouvez penser que la folie aide à économiser de l'argent lorsqu'elle n'est pas couverte par tous les risques.

De plus, avec Cybersécurité , Le but est de ne pas avoir de conséquences négatives, comme aucune violation de données ou piratage. Cette situation fait qu'il est difficile de voir les retours sur vos investissements dans la cybersécurité.

Justifiez vos investissements informatiques

D'un autre côté, la quantification des risques de cybersécurité peut vous aider à rentabiliser vos investissements dans le Informatique aux endroits où il en manque. Connaître les types de risques à prendre en compte vous aidera à justifier le coût des logiciels, du matériel ou des nouveaux employés des technologies de l'information.

Obtenez une meilleure vue de la sécurité

Déterminer l'ampleur des risques de cybersécurité de votre entreprise peut vous donner une image complète de plusieurs choses. Vous connaîtrez le matériel, les logiciels et le matériel connectés à votre réseau.

Vous saurez si ces ressources sont mises à jour ou non. Vous saurez s'il existe des ressources qui ne sont plus utilisées.

Vous saurez où tout se trouve, quels types de fichiers sont stockés, où et ce dont vous avez besoin pour désactiver ou désactiver.

Évaluez différents types d'attaques

Ce qui rend la mesure des risques de cybersécurité plus difficile, c'est que la cybersécurité peut être très complexe. Non seulement de nouvelles technologies émergent, mais il existe également différents types de menaces.

Lisez aussi:  6 meilleurs claviers sans fil avec pavé numérique

Par exemple, vous pouvez obtenir les derniers logiciels, formations et techniques pour vous aider à lutter contre les escroqueries par hameçonnage par e-mail. Cependant, ces précautions ne signifient pas que vous êtes à l'abri des attaques DDoS ou de la chaîne d'approvisionnement.

La quantification de vos risques de cybersécurité peut vous aider à savoir de quelles technologies l'information vous disposez et quels types d'attaques sont possibles en utilisant ces ressources. Cette connaissance, à son tour, vous aidera à obtenir les outils, l'expérience et les techniques qui peuvent vous aider à combattre toutes les attaques possibles.

Ce faisant, vous pourrez augmenter l'efficacité de vos outils, politiques et ressources de cybersécurité. Vous pourrez orienter les stratégies les plus efficaces vers les systèmes les plus importants et l'information les plus sensibles.

Dans le cas des petites entreprises, vous pourrez allouer des ressources là où elles sont réellement nécessaires, tout en réalisant des capacités d'attaque potentielles dans d'autres parties de votre entreprise.

Autres raisons - pourquoi vous devez définir vos propres risques de cybersécurité

La raison la plus importante pour estimer les risques de cybersécurité est de s'assurer que vous êtes en mesure d'utiliser plus efficacement vos budgets de technologie de l'information tout en obtenant un aperçu rapide de votre entreprise et des risques Internet auxquels vous êtes confrontés.

Cependant, il y a d'autres raisons pour lesquelles vous devriez également le faire:

  • Coûts réduits à long terme. «Lorsque vous identifiez des menaces potentielles, vous pouvez atténuer de manière proactive les risques auxquels vous êtes confrontés et prévenir les incidents de sécurité», explique Syed Javerni, cofondateur et PDG de Ziguru. "Cela signifie que vous éviterez de faire face à une amende réglementaire (en plus d'autres coûts de violation de données) qui pourrait s'élever à des centaines de milliers ou des millions de dollars."
  • Vous pouvez obtenir un modèle pour de futures évaluations. La détermination de vos risques de cybersécurité n'est pas une affaire unique. Vous devrez effectuer une évaluation régulière pour vous assurer que vous êtes toujours suffisamment protégé contre les dernières menaces. La bonne nouvelle est que le faire la première fois vous fournira un modèle pour les évaluations futures.
  • Conscience de soi. Il n'y a rien de mal à être conscient de soi. En fait, toutes les entreprises qui réussissent portent ce trait. L'identification des risques de cybersécurité peut vous aider à voir où se situent vos forces et vos faiblesses. En tant que tel, vous savez où vous avez besoin d'un investissement supplémentaire pour pouvoir boucher les trous.
  • Améliore la communication. L'estimation des risques de cybersécurité de votre organisation n'est pas une tâche individuelle. Vous aurez besoin de la contribution de différents employés et services, quelle que soit la taille de votre entreprise. À ce titre, l'exercice aidera à initier et à faciliter la communication entre deux employés ou services.
  • Conformité aux réglementations. Selon le secteur dans lequel vous travaillez, la loi peut vous obliger à déterminer les risques de cybersécurité ou à effectuer une évaluation des risques sur Internet. Par exemple, la HIPAA exige que les hôpitaux et autres entités couvertes le fassent. Les autres sociétés doivent se conformer aux exigences de la norme PCI-DSS, ainsi qu'aux lois locales, étatiques et fédérales.
  • Obtenir une assurance électronique. Saviez-vous que deux entreprises sur trois pensent qu'elles fermeront un magasin ou fermeront leur entreprise si elles sont exposées à deux pirates ou souffrent d'une violation de données? Obtenir une assurance peut vous aider. "Tout comme la santé et les autres formes d'assurance, avoir une assurance en ligne vous garantira que vous ne rencontrerez pas de difficultés financières en cas de défaillance des systèmes de cybersécurité et que vous violerez les données", explique Gavirnini.
Lisez aussi:  Tendances marketing des réseaux sociaux avant les visites pour 2020

Comment mesurer les risques de cybersécurité?

Il ne suffit pas de simplement dire: "Nous n'avons eu aucune violation de données au cours de la dernière année, alors nos investissements en matière de cybersécurité fonctionnent."

La bonne nouvelle est qu'il existe de nombreuses façons d'évaluer les risques de cybersécurité, telles que la réalisation d'évaluations internes ou d'audits tiers, de tests de pénétration, etc.

Comment faire des évaluations internes

Il n'est pas facile d'estimer l'ampleur des risques de cybersécurité, mais ce n'est pas impossible à faire. Il vous suffit de choisir un cadre de sécurité fiable sur lequel vous pouvez baser vos évaluations des risques.

Les directives de l'Institut national des normes et de la technologie sont un bon début.

Commencez à examiner les données

Vous devrez toujours commencer par un examen des données, qui vous donnera une vue claire des informations que votre entreprise et son entrepôt collectent. Vous saurez également comment documenter et protéger les données que vous collectez. Enfin, vous devez savoir combien de temps vous conservez vos données et ce que vous faites quand elles ne vous sont plus utiles.

Déterminer les paramètres

Vous devez toujours savoir ce que vous essayez de réaliser avant de commencer à identifier les risques de cybersécurité. Par exemple, l'objectif et la portée de l'évaluation doivent être clairs. Vous devez également savoir si vous avez des priorités ou des limites qui peuvent influencer l'évaluation. Vous devez également spécifier les personnes clés qui devraient être impliquées dans le processus.

Identifier les sources de la menace

Vous devez savoir d'où proviendront les vulnérabilités potentielles de la cybersécurité. Il peut s'agir d'employés, d'initiés, de pirates et d'autres personnes. Il peut s'agir d'une entité étrangère ou d'autres entités externes. Ou vos concurrents peuvent vous espionner. Vous avez également des menaces non hostiles, telles que des utilisateurs réguliers de vos systèmes ou de votre site Web.

Connaître les événements de menace

Divers cadres, tels que NIST, vous donneront une explication plus complète de ce que sont les événements de menace, comment ils sont mis en œuvre et comment les arrêter. Par exemple, le NIST répertorie certaines des menaces les plus courantes, telles que les accès non autorisés, les menaces internes, les fuites de données, la perte de données et la perturbation de vos opérations. Vous devez également connaître les vulnérabilités de votre système et savoir comment elles sont exploitées.

Déterminer la probabilité que ces événements se produisent

Après avoir identifié les menaces et collecté d'autres informations, vous devriez être en mesure de déterminer la probabilité d'une attaque particulière.

En savoir plus sur l'impact potentiel

Une autre chose que vous devez savoir est l'impact potentiel de l'attaque.

Toutes ces informations vous aideront à identifier vos risques de cybersécurité. En tant que tel, votre risque de cybersécurité est une combinaison de la probabilité que l'événement se produise et des pertes potentielles que vous subiriez s'il se produisait.

Qui devrait déterminer l'ampleur des risques de cybersécurité?

Bien que tout le monde devrait être à bord quand il s'agit de cet exercice, c'est en fin de compte la responsabilité d'une équipe ou d'une personne qui fera le travail. L'équipe ou la personne responsable doit avoir une compréhension approfondie du fonctionnement du réseau et de l'infrastructure numérique.

Lisez aussi:  Comment vérifier la couverture 5G dans votre région

Il doit avoir une compréhension fine de la façon dont l'information circule d'un département à l'autre, et même d'autres informations du côté commercial des choses qui peuvent être utiles pour les évaluations.

Cependant, si vous n'avez pas d'employés pour cela, vous pouvez toujours sous-traiter. Il existe des entreprises et des particuliers qui peuvent vous fournir des évaluations des risques sur Internet. Cela dit, vous devriez demander des recommandations. Vous pouvez vérifier leurs pairs et d'autres entreprises qui ont nommé un consultant ou une entreprise dans le même but.

Une fois que vous avez déjà identifié certains prospects, vous devez toujours auditer une entreprise ou un conseiller potentiel. Consultez les avis en ligne ou obtenez les avis des clients précédents. Vous pouvez avoir une idée de la façon dont ils fonctionnent correctement, de leur professionnalisme, de leur éthique de travail et de leurs compétences. En bref, vous saurez lequel fait vraiment du bon travail et lequel essaie simplement de terminer le rapport, puis de vous tirer de vos revenus durement gagnés.

Enfin, demandez un devis. Cela vous aidera à vous débarrasser des prix et des coûts. Cela vous aidera également à connaître l'étendue du travail qu'ils feront.

Problèmes et limitations

Ces options ont leurs limites et leurs inconvénients. Ils sont gourmands en ressources. Vous ne pourrez peut-être pas dédier votre équipe informatique ou engager une entreprise pour revoir votre cybersécurité avec votre trésorerie disponible.

Plus que cela, ces options ne sont valables que pour une période de temps spécifique. Votre antivirus peut être en mesure de bloquer un e-mail infecté lors de l'exécution de tests, mais cela ne garantit pas qu'il pourra tout intercepter à l'avenir.

Les tests de pénétration, les audits internes et les audiences externes sont également très subjectifs. Ils produisent souvent des mesures techniques qu'un employeur peut ne pas être en mesure de comprendre.

Dans l'ensemble, le scénario que la plupart des petites entreprises voient est qu'elles doivent prendre une décision aujourd'hui, mais elles ne peuvent pas se fier aux tests qui ont été effectués au cours du dernier trimestre. Ils ont besoin d'un autre audit, mais le dernier processus qui a pris plus d'un mois et pour être honnête, a été très coûteux. En tant que tel, pour la plupart des petites entreprises qui choisissent d'entreprendre ces opérations pour identifier leurs risques de cybersécurité, c'est au moins un défi.

Identifier les risques de cybersécurité: pas facile mais nécessaire

Tout ce qui en vaut la peine demandera beaucoup de travail. La bonne nouvelle est que l'identification des risques de cybersécurité est l'une de ces choses. Cela devient plus facile au bon moment, mais la première fois que vous faites cela, cela demande beaucoup d'efforts.

Il y a des avantages à ce que cela en vaille la peine. Il vous aide à obtenir une vue complète de vos risques liés aux technologies de l'information et des paiements, et vous aide à économiser de l'argent à long terme. Vous n'avez même pas besoin d'attendre, vous pouvez utiliser les informations que vous obtenez en identifiant les risques de cybersécurité pour vous aider à allouer plus efficacement votre budget de sécurité des technologies de l'information.

Vous pourriez l'aimer aussi