Como o SPARQ ajuda as organizações de saúde a quantificar o risco cibernético
O SPARQ inclui uma solução de plataforma que aproveita a inteligência artificial e fornece atualizações em tempo real à avaliação quantitativa de riscos de uma organização, para que não seja um evento único, mas um processo contínuo que pode ajudar as organizações a desenvolver um programa de segurança cibernética mais maduro.
Do ponto de vista narrativo, é o oposto de uma caixa de seleção de conformidade. Em vez de subscritores externos ou pesquisas informarem a avaliação de risco de uma organização, olhamos de dentro para fora para descobrir o que é mais importante para a situação única da organização, quais aspectos reduzirão mais o risco e quais áreas serão o melhor lugar para investir.
Após a avaliação, as organizações não terão de se deparar com as 24 conclusões para descobrir o que precisam de abordar primeiro. Com o SPARQ, cada risco recebe um valor em dólares, então uma conversa pode começar com: “Este projeto em particular custa US$ 200 mil, mas está comprando US$ 9 milhões em um ano de risco”. Isto suscita discussões sobre onde as organizações podem investir para reduzir o maior risco, ou mover a agulha no capital versus custos operacionais, ou ajudar o CFO a atingir uma meta de lucro. Isso permite que as equipes de segurança falem a língua do negócio.
Tradicionalmente, os CISOs não são bons a comunicar da mesma forma que o CEO ou o CFO comunicam com o conselho de administração. Com o SPARQ, podem começar a utilizar essa estrutura de dólares e cêntimos para dizer: “Estes são os riscos e estas são as compensações e este é o mix de investimentos que queremos fazer”.
No passado, como líderes de segurança, íamos às salas de reuniões para tentar articular como eram as nossas métricas, como eram as nossas vulnerabilidades, como eram essas avaliações de risco, e isso não se traduz facilmente para os executivos. Agora, ao atribuir valores monetários a esses riscos, os CISOs podem priorizar melhor os desafios que estão tentando resolver.
Então você quantificou seus riscos de segurança cibernética. O que vem a seguir?
Quando uma organização identifica e quantifica as suas vulnerabilidades e pode dizer que tem 20 milhões de dólares ou 100 milhões de dólares ou o que quer que valha a pena em risco, então a questão é: o que fazemos com isso?
Em geral, existem quatro opções:
- Uma organização pode evitar riscos sem fazer nada, mas isso não é um empreendimento.
- Pode aceitar riscos e, em última análise, analisar o seu apetite pelo risco.
- Pode transferir o risco para outra entidade, como o seguro cibernético.
- Pode mitigar o risco com controles.
O SPARQ ajuda as organizações a decidir qual seria a combinação certa das opções 2, 3 e 4. Que risco o seguro cibernético deve transferir? Quanta redução de risco a organização obterá pelo que gasta? É uma abordagem mais focada nos gastos com TI que permite aos líderes dizer: “Ok, isso é quanto queremos transferir para seguros e é quanto vamos mitigar e gastar em controles”.
