Konsulent Frederik Thygesen og salgschef Thomas Bang hos ACI

 

 

Metoden til at måle og reducere it-risici

At sætte og holde kursen mod optimal it-sikkerhed kræver pålidelige processer, effektive værktøjer og uafhængig rådgivning. Desværre anvender mange organisationer stadig kvalitative metoder til it-risikostyring, som gør det svært at måle risici og holde sit risikoniveau op mod sin risikoappetit.

Løsningen er evidensbaserede og kvantitative analysemetoder, som skaber et solidt og transparent beslutningsgrundlag, så I undgår analyseplacebo.

 

“Risikostyring med tillid til fejlbehæftede metoder er værre end intuition og terningkast.”
ACI dogme #2

 

 

Praktisk og pålidelig kvantitativ it-risikostyring

Risikostyring er en kendt disciplin indenfor økonomi, forsikring, byggeri m.fl. Disse evidensbaserede metoder bruger vi til at give jer en it-risikovurdering, som tager højde for jeres it-trusselsbillede, sikkerhedsniveau og risikoappetit. På det grundlag kan I udvikle jeres it-strategi, politikker, forretningsgange og kontroller, så I opnår den bedste risikoreduktion per krone.

En risikovurdering fra ACI medtager risikoscenarier fra følgende områder og forhold:

  • Eksterne ondsindet angreb (cyberkriminalitet)
  • Interne ondsindet angreb
  • Interne fejl og mangler
  • Hændelser fra outsourcing
  • Fysiske hændelser

To løsninger til optimal it-risikostyring

Vi har udviklet metoderne SARA og GORM for at sikre jer en god proces samt en brugbar og uvildig vurdering af jeres it-risikostyring. Processerne skræddersyer vi til jeres organisation, så forløbet bliver agilt, grundigt og sikkert i henhold til ledelsesbekendtgørelsens bilag 5. Læs mere om vores metoder herunder.

Analytiker Paata Morbedadze og konsulent Frederik Thygesen diskuterer metoder til kvantitativ it-risikostyring


Security Assessment, Risk Assessment

Få en it-sikkerhedsvurdering og risikovurdering af jeres aktuelle situation. På baggrund af denne måling kan I sammen med os reducere til et kendt og accepteret risikoniveau.


Læs mere om SARA

 

 

I har mere data, end I tror

Mangel på data er typisk argumentet mod at anvende kvantitative metoder i it-risikovurderinger. Faktisk har organisationer mere data, end de tror, som kan reducere usikkerhed i en it-risikovurdering. Og der er behov for mindre data, end man tror.

Selv få målinger fra jeres it-miljø, sammenholdt med det vi ved om trusselsbilledet, kan bringe os nærmere en prognose for eksempelvis en alvorlig cyberhændelse med tab af sensitive data. Jeres umiddelbart tilgængelige data bruger vi til at reducere usikkerheden mest muligt. Herefter hjælper vi jer til at opsamle risikodata til yderligere reduktion af usikkerheden i efterfølgende risikovurderinger.

 

“Hvis det betyder noget, kan det observeres. Hvis det kan observeres, kan det måles.”
ACI dogme #10

 

Værktøjer og standarder for risikostyring

Værktøjer virker kun, hvis de underliggende processer fungerer. De er altså ikke afgørende for optimal it-sikkerhed. Gennem årene har vi dog udviklet en pålidelig og effektiv værktøjskasse, som blandt andet består af:

  • Processen for risikostyring, som den er beskrevet i ISO-standarder
  • Taksonomier for operationelle risici fra forskellige brancher
  • Egenudviklet scenariegenerator
  • Værktøjer til kalibrering af ekspertudsagn
  • Simulering baseret på Monte Carlo
  • Analyse af nuværende it-sikkerhedsniveau baseret på CIS-kontrollerne
  • Værktøjer til visualisering og præsentation af data
  • Samarbejdspartnere til opsamling af risikodata og udførsel af specifikke tests

 

 

 

 

Vil I vide mere om vores ydelser?

Kontakt os gerne, så vil vi uddybe, hvordan vi kan skabe værdi for jer.

Tag venligst kontakt til vores salgschef Thomas Bang på:

Telefon: +45 9360 5152
E-mail: tba@aci.dk