مدل اقتصاد ریسک سایبری برای مدیریت ریسک در سراسر سازمان (CYREM-ORM)

با افزایش پیچیدگی ریسک های سایبری، ارزیابی پیامدهای آن ها بر کسب وکار برای سازمان ها دشوارتر شده است. یکی از چالش های اصلی، مانع فنی و زبانی میان تیم های امنیت سایبری و تیم های کسب وکار است که مسئول تصمیم گیری های راهبردی در زمینه سرمایه گذاری های امنیت سایبری هستند. این مسئله اغلب باعث تاخیر در تصمیم گیری ها و مشکلات بودجه ای می شود و مانع از واکنش به موقع به حوادث سایبری می گردد. پژوهش های موجود فاقد روشی شفاف، قابل ردیابی و قابل بازتولید برای انتقال و تبیین ریسک های سایبری و تاثیر آن ها بر کسب وکارها هستند. در این پژوهش، یک مدل نوین اقتصاد ریسک سایبری برای مدیریت ریسک در سطح کل سازمان (CYREM-ORM) معرفی می شود که قادر است ریسک های پیچیده سایبری را شناسایی کرده و آن ها را در قالب اصطلاحات و معیارهای مالی بیان کند. این هدف از طریق نگاشت اطلاعات تهدیدات سایبری (Cyber Threat Intelligence - CTI) به مدل تحلیل عاملی ریسک اطلاعات (FAIR) و همچنین غنی سازی آن با گونه شناسی هزینه های سایبری محقق می شود. مدل CYREM-ORM یک جریان کاری قابل ردیابی ارائه می دهد که اطلاعات تهدیدات مرتبط با سازمان را به برآورد عوامل مدل FAIR، تفکیک هزینه ها و در نهایت برآورد میزان خسارت مالی و اولویت بندی سناریوهای ریسک پیوند می دهد. این طراحی موجب افزایش شفافیت در مدیریت ریسک شده، به سازمان ها کمک می کند اقدامات کاهشی را مطابق با اهداف راهبردی کسب وکار اولویت بندی کنند و همچنین امکان ارزیابی منطق و مبنای نتایج توسط ذی نفعان را در صورت نیاز فراهم می سازد. علاوه بر این، با اتکا به پارامترهای ریسک مبتنی بر اطلاعات تهدیدات سایبری، این مدل امکان شناسایی پیش دستانه تهدیدات مرتبط با سازمان را فراهم می کند؛ در حالی که رویکردهای سنتی اغلب بر گزارش دهی واکنشی شکاف های کنترلی تمرکز دارند. برای ارزیابی مدل CYREM-ORM از سه مطالعه موردی مکمل استفاده شده است: مطالعه نقض داده شرکت Equifax در سال ۲۰۱۷ که امکان پذیری مدل را با استفاده از داده های تاریخی و اطلاعات تهدیدات متن باز نشان می دهد. مطالعه موردی یک شرکت آموزشی کوچک و متوسط (SME) و یک شرکت بزرگ خرده فروشی که اثربخشی مدل را در انتقال و تبیین ریسک های سایبری در سطح راهبردی سازمان در شرایط واقعی نشان می دهند.