Iskorištavanje Pareto načela u upravljanju rizicima

80% rizika može se upravljati sa samo 20% napora? Pareto 80/20 pravilo je koristan koncept u upravljanju rizicima.

Nadam se da su svi zainteresirani akteri u kibernetičkoj sigurnosti svjesni da rizik ne može biti potpuno eliminiran - stoga je potrebno uravnoteženo upravljanje rizicima.

Štoviše, propisi o kibernetičkoj sigurnosti sve više naglašavaju upravljanje rizicima kako bi se poboljšao sigurnosni položaj i smanjila izloženost prijetnjama. Na primjer, nadolazeća NIS2 direktiva nalaže organizacijama koje su pogođene da imaju sistem za upravljanje rizicima i sigurnošću informacija. U praksi, to znači provođenje redovnih vježbi procjene rizika koje imaju za cilj identificirati, tretirati i nadzirati rizik kibernetičke sigurnosti organizacije.

Imajući sve to na umu, nije čudo da mnoga rješenja za kibernetičku sigurnost sada uključuju funkcionalnosti usmjerene na CISO-e i upravljanje kibernetičkim rizicima, uključujući izradu modela rizika kako bi se izračunala vjerojatnost napada po zonama i učinkovitost odgovarajućih mjera za ublažavanje rizika.

Pareto načelo - poznato i kao pravilo 80-20 - nazvano po ekonomisti Vilfredu Pareto, tvrdi da se otprilike 80 posto efekata ili rezultata može pripisati 20 posto uzroka ili ulaganog inputa. Za praktičare kibernetičke sigurnosti, ovo se prevodi u:

➡ 80% poslovnog rizika koji može uzrokovati najveću štetu dolazi iz samo 20% ranjivosti.

➡ 20% ulaganja u kibernetičke alate donosi 80% vrijednosti.