Risikonya terukur

“Risiko tidak dapat diukur,” ungkapan ilmiah dan matematika umum yang sering diterapkan pada keamanan informasi. Meskipun benar bahwa beberapa pengukuran risiko bersifat subjektif, adalah naif untuk berpikir bahwa pengukuran tidak dapat dicapai. Risiko bukanlah angka, tetapi ukuran risiko.

Misalnya, Anda dapat mengukur:

* Persentase penjual yang memenuhi kriteria organisasi,

* Persentase kepatuhan terhadap peraturan, dan

* Jumlah kerentanan yang ada di lingkungan.

Sangat penting bagi serikat kredit untuk mengidentifikasi, memprioritaskan, dan mengelola risiko. Manajemen dan staf teknis harus bersama-sama menetapkan standar untuk mengukur kinerja keamanan informasi. Pengukuran ini harus secara jelas selaras dengan tujuan dan strategi bisnis.

Saat mengembangkan standar pengukuran, hindari istilah teknis, hukum, dan objektif. Fokus pada pengukuran layanan yang diberikan. Tentukan dengan jelas tujuan, strategi, dan metrik. Ini memfasilitasi komunikasi terbuka, perencanaan yang bijaksana, dan imbalan finansial.

Berikut adalah alasan umum untuk menghindari pengukuran risiko:

* “Manajemen tidak mengerti.” Keamanan informasi mencakup masalah keamanan teknis dan fisik. Memastikan kerahasiaan, integritas, dan ketersediaan memerlukan wawasan mendalam tentang teknologi, pemodelan risiko, keamanan fisik, serta undang-undang dan peraturan. Kompleksitas teknis sering menghambat komunikasi antara manajemen dan personel teknologi informasi (TI). Tantangan bagi staf TI: menyampaikan informasi yang kompleks secara sederhana dan jelas. Tantangan bagi manajemen: Bersedia menerima perubahan.

* “Langkah keamanan hanya untuk serikat kredit besar.” Mengintegrasikan pengukuran risiko keamanan informasi ke dalam operasi organisasi membutuhkan waktu, ketekunan, dan seringkali perubahan budaya. Orang sering merasa terancam, membenci perubahan, atau memiliki dorongan sosial yang memperlambat proses tersebut. Tetapi serikat kredit dari semua ukuran mendapat manfaat dari kegiatan pengukuran risiko. Ini mungkin memakan waktu, tetapi ketekunan terbayar ketika pengukuran mendukung permintaan anggaran dan memberikan data ROI yang berharga.

* “Keamanan bergerak sangat cepat.” Teknologi terus berubah dengan kecepatan yang mencengangkan. Banyak orang merasa bahwa mengukur keamanan informasi tidak dapat mengimbangi perubahan teknologi. Tetapi masalahnya mungkin sebenarnya dirancang dengan buruk. Tujuan pengukuran adalah menyelaraskan strategi perusahaan dengan teknologi informasi. Tentukan dengan jelas tujuan dan sasaran organisasi. Kemudian ukur keamanan informasi yang berkaitan dengan tujuan dan sasaran tersebut.

Pengukuran Cerdas

Keputusan yang bijak membutuhkan informasi yang sederhana, terukur, dapat dicapai, dapat diulang, dan tepat waktu (SMART). Menjaga pengukuran risiko keamanan informasi:

* dasar. Tujuan dari setiap pengukuran harus dipahami dengan jelas oleh semua pihak yang dituju. Buat daftar KPI. Hindari istilah teknis, hukum, dan lainnya. Hindari kelebihan data dan tetap fokus pada metrik kinerja tertentu.

* Terukur. Sementara banyak aspek keamanan dan risiko sulit diukur, fokuslah pada apa yang dapat diukur – misalnya, jumlah kerentanan atau jumlah kecelakaan.

* Dapat dicapai. Beberapa pengukuran adalah keluaran langsung dari laporan dan sistem yang ada; Orang lain mungkin perlu menguraikan untuk mendapatkan nilainya. Pastikan bahwa tujuan pengukuran dapat dicapai dari waktu ke waktu, karena harus terus dievaluasi dan dikelola dengan biaya minimal.

* Dapat diulang. Karena Anda ingin menunjukkan tren untuk menghasilkan data yang berguna, pastikan pengukuran mudah dilakukan dari waktu ke waktu dan dapat diulang.

* tepat waktu. Informasi yang ketinggalan zaman dapat mempengaruhi analisis dan secara langsung mempengaruhi keputusan. Keakuratan ketepatan waktu data sering menentukan nilainya. Pastikan mudah untuk melakukan pengukuran sesuai kebutuhan. Bertujuan untuk otomatisasi maksimum dengan aktivitas manual minimal. Buat koneksi dan hak akses yang jelas pada awalnya.

Credit union Anda dapat mengukur kinerja keamanan informasi. Model risiko, metrik keuangan, KPI, dan metrik lainnya dapat membantu Anda menyelaraskan keamanan informasi dengan tujuan dan strategi organisasi.

Related Articles

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button
Close
Close