Por qué el seguro ciber necesita evaluaciones probabilísticas y estadísticas de ciber riesgos más que nunca

En 2016, hubo casos en los que las acciones de ciberseguridad no tuvieron un buen rendimiento,¹ y una de las razones atribuidas a esta ocurrencia fue que los inversionistas necesitaban algunas infracciones de alto perfil² para atraerlos nuevamente a la inversión en acciones de ciberseguridad. No pasó mucho tiempo antes de que se desencadenara el ataque del botnet Mirai.

Cuando se produce una violación así, el resultado estimula dos efectos. En primer lugar, cada vez que se informa sobre una violación como la violación de Equifax,³ las firmas de ciberseguridad ganan algo de tracción financiera. En segundo lugar, crea miedo, incertidumbre y duda (FUD) en las mentes de los ejecutivos de nivel C, lo que aumentará directa o indirectamente el gasto en seguridad. Además, los jefes de seguridad de la información (CISO, por sus siglas en inglés) constantemente buscan respuestas a las inquietudes intangibles pero válidas de la junta. Las preocupaciones más comunes son: ¿Cuál es el riesgo más alto que debe abordarse para la organización? ¿La póliza de ciber seguro actual cubrirá el costo de una violación de datos? ¿Qué inversión de seguridad específica es más importante? ¿Cuál es la cantidad de exposición para una aplicación alojada en la nube?⁴ ¿Cuál es el retorno de la inversión en seguridad (ROSI) en una inversión anterior? Incluso más allá, teniendo en cuenta la violación de Equifax, ¿cuál es la situación financiera en caso de que surja un escenario similar con una aplicación Apache Struts⁵ sin parchear o cualquier otra aplicación no parcheada? Imagínese cómo este mismo escenario se torna más tortuoso en una era post EU Regulación de Protección General de Datos (GDPR).

Es el consenso general que el ciber riesgo es sin duda un riesgo comercial. Desde el punto de vista del riesgo empresarial, la pregunta más importante que debe responderse es conocer la cobertura de seguro cibernético adecuada para que una organización cubra sus bases en caso de una violación. No hay una respuesta directa a esto hoy. Esto depende completamente de varias variables, incluida la postura de riesgo de la organización y del proveedor de seguros, que, en la mayoría de los casos, no está dispuesto a ofrecer un paquete que cubra lo que la empresa anticipa, ya que no tiene las herramientas adecuadas o datos para estimar la postura de riesgo del cliente.

Paisaje de seguro de riesgo cibernético

El seguro cibernético, junto con el ciber riesgo, se ha convertido en un elemento de agenda muy común en la lista de discusión de la sala de juntas en los últimos tiempos.⁶ Tanto las empresas como las compañías de seguros tienen dificultades para cuantificar los controles existentes y la cantidad de riesgos que cada una de las partes está asumiendo. El seguro cibernético ha experimentado una evolución sustancial desde la perspectiva de la cobertura, ya que hay varios factores de riesgo nuevos que no se han tenido en cuenta ni se han tenido en cuenta anteriormente (como la ciber extorción, el espionaje y las infracciones de privacidad).⁷

La cobertura del seguro de cibernético es adicional al seguro de responsabilidad, propiedad y robo que tradicionalmente se ha ofrecido. Pero el desafío aquí es doble.⁸ Las aseguradoras no tienen una línea de base establecida o una configuración sólida para evaluar el ciber riesgo de la organización para determinar las primas de seguro. En la actualidad, la mayor parte de esto se hace aprovechando los cuestionarios básicos para evaluar el estado actual del ciber riesgo. Esta práctica puede generar un alto riesgo que podría afectar negativamente a la compañía de seguros. Por otro lado, si la organización malinterpreta las preguntas, esto puede generar primas más altas. Las implicaciones del seguro posterior al incidente son adversas si la organización exageró los controles al adquirir la póliza.

Tradicionalmente, las compañías de seguros de automóviles o viviendas brindan un seguro basado en variables tales como la edad del conductor, el tipo de automóvil conducido, el año en que se construyó el hogar, y la proximidad a los servicios de bomberos y policía. Esta toma de decisiones con conciencia de riesgo es posible principalmente porque los datos y las métricas han estado disponibles durante varias décadas. La madurez y las métricas similares no están disponibles para la gestión de riesgos de TI, lo que implica que hay mucha incertidumbre. Aquí es donde las estadísticas y la probabilidad pueden ayudar. La Figura 1 ilustra que la escasez de datos desencadena el vicioso ciclo de ciber seguro.^{9, 10} De hecho, en realidad es la incapacidad del proveedor y el consumidor para recopilar solo los datos suficientes para estimar el ciber riesgo que desencadena este círculo vicioso.

Fitch Ratings Inc. informó que el Seguro de la Ley del Modelo de Seguridad de Datos fue adoptada por la Asociación Nacional de Comisionados de Seguros de los Estados Unidos¹¹ para promover prácticas de gestión del ciber riesgo más rigurosas. Señalan que la pérdida limitada de datos históricos, el lenguaje de política variable y los términos y desafíos para cuantificar las agregaciones de riesgo presentan una incertidumbre considerable para las aseguradoras. Cualquier ligera reducción en esta considerable incertidumbre mejoraría el estado actual. Los métodos estadísticos y probabilísticos se aprovechan cuando se trata de incertidumbre. Este artículo proporciona evidencia de que las evaluaciones de riesgos estadísticos y probabilísticos pueden ayudar a ambas partes a llegar a una conclusión sobre cuánto riesgo se está transfiriendo en términos cuantitativos.

En lugar del círculo vicioso del seguro cibernético mencionado anteriormente, se propone un ciclo (ciber) de consumidores, proveedores y reguladores (CPR) en la figura 2, y puede permitir robustas prácticas de ciberseguridad y riesgo si se logra y mantiene la armonía. El triángulo ilustra que los proveedores, clientes y regulaciones de ciber seguros como GDPR, Industria de tarjetas de pago (PCI), Ley de Portabilidad y Responsabilidad de Seguros Médicos de EE. UU. (HIPAA) y la Ley Sarbanes-Oxley de EE. UU. (SOX) son interdependientes y juntos pueden contribuir a mejorar el estado de la ciberseguridad y el seguro. Los aumentos en la cantidad de violaciones a menudo resultan en nuevas regulaciones que impulsan a los proveedores de seguros a aumentar el costo de la cobertura. Esto es notablemente evidente en el caso de la próxima implementación de GDPR.¹² En una línea diferente, las nuevas regulaciones también impulsan a los clientes de seguros cibernéticos a adoptar controles de seguridad más estrictos (posiblemente reduciendo violaciones futuras), y con el aumento de la cobertura de seguros, se ven obligados a estimar con precisión el riesgo potencial. Esto estabilizaría el precio de cobertura y obligaría a los proveedores a optimizar el nivel de cobertura. El Departamento de Seguridad Nacional de los EE. UU. enfatiza que un mercado sólido de seguros de ciberseguridad podría ayudar a reducir la cantidad de ciberataques exitosos.¹³ Estimar con precisión el posible ciber riesgo es un buen lugar para comenzar para un profesional de la seguridad y el riesgo. Desde la perspectiva del programa de seguridad, las flechas en la figura 2 deben ser la principal prioridad para obtener el beneficio de una mejor cobertura a un costo óptimo y para reducir el número de violaciones en el largo plazo.

Debido a las recientes violaciones de datos, en los últimos tiempos se han contratado más CISO en todo el mundo, y algunos de estos individuos finalmente han adquirido su tan anhelado asiento en la mesa de juntas. Esto simplemente significa que el CISO tiene una mayor responsabilidad de informar al consejo sobre el estado de riesgo actual y compartir métricas de seguridad significativas para que el directorio esté bien informado para tomar las decisiones correctas. Tomar las decisiones correctas tiene una importancia primordial ya que las empresas pueden evitar importantes riesgos financieros y posibles daños a la reputación o incluso evitar salir del negocio. Esto incluye asegurar una sólida póliza de seguro cibernético que cubre cualquier riesgo de cataclismo. Cuando estas decisiones se basan principalmente en evaluaciones de riesgos, es fundamental se utilice métodos que funcionen y, lo que es más importante, mida qué tan bien funcionan estos métodos de evaluación de riesgos. Después de todo, uno no puede administrar lo que no se puede medir. Antes que nada, debe establecerse una línea de base para el lenguaje del ciber riesgo común.

Consenso de terminología

“Riesgo”, “vulnerabilidad”, “amenaza” y “activo” tienen cada uno un significado contextualizado y a menudo se usan indistintamente entre sí. Por ejemplo, personas con información privilegiada, contraseñas débiles, actores del Estado-nación, ciberdelincuentes, hacktivistas y la participación de la red no son un riesgo. Pero la taxonomía en la mayoría de las organizaciones actuales con respecto al riesgo es que la mayoría de estos se malinterpretan como un riesgo potencial. Los profesionales del riesgo deben tener un consenso de nomenclatura y una comprensión adecuada de la diferencia entre una amenaza, agente de amenaza, vulnerabilidad, activo y riesgo. Debe existir una armonía de vocabulario común no solo dentro de las organizaciones, sino también entre los proveedores de seguros, las fuerzas del orden público y las corporaciones, lo que ayuda enormemente a ejecutar la ciber CPR de manera eficiente. Esto se logra mejor con la práctica y el entrenamiento. Se puede encontrar más orientación en el libro Análisis de factor de riesgo de información (FAIR).¹⁴

Evaluaciones cuantitativas de ciber riesgos hoy

Se ha abogado implacablemente por que la atribución de números a los colores en un mapa de calor no lo hará una evaluación de riesgos cuantitativa. La Figura 3 es una versión más simple del ejemplo de matriz de riesgo para explicar el problema de compresión de rango con matrices de calor. Dos escenarios de riesgo siguen:

• Riesgo A—La probabilidad es del 40 por ciento, impacto = US $6 millones
• Riesgo B—Probabilidad es del 80 por ciento, Impacto = US $1.5 millones

El riesgo se evalúa multiplicando el impacto y la probabilidad. Claramente, la pérdida esperada para el Riesgo A, US $2.4 millones, es mucho mayor que la pérdida esperada para el Riesgo B, US $1.2 millones.

Pero la matriz de riesgos representa lo contrario. Muestra que el riesgo A es un riesgo medio y el riesgo B es un riesgo de alto nivel, que es exactamente lo contrario de lo que la evaluación matemática de la pérdida esperada sugiere.

El cambio es una némesis inoportuna en cualquier lugar y en cualquier forma. La prioridad de las organizaciones, especialmente en lo que respecta a la seguridad cibernética, debe ser impulsar un cambio en el proceso de pensamiento en torno a la adopción de evaluaciones de riesgos cuantitativas probabilísticas y eliminar cualquier concepto erróneo.¹⁵ “La cultura se come la estrategia para el desayuno”¹⁶ describe apropiadamente cómo las organizaciones adoptan ciegamente la proposición de aprovechar los modelos cuantitativos de medición del ciber riesgo basados en prácticas ancestrales, mitos sobre los disponibilidad de datos e ignorancia estadística. Y a veces, la política organizacional también juega un papel importante. El hecho flagrante aquí es que las evaluaciones cuantitativas de riesgos basadas en modelos probabilísticos deben ser adoptadas como un estándar para ayudar a tomar decisiones mejores y más precisas. Desafortunadamente, la mayoría de los marcos y consorcios líderes todavía usan mapas de calor.

Evaluaciones cuantitativas de ciber riesgos que importan

La investigación deja en claro que los siguientes hechos pueden ayudar a avanzar un paso más en la progresión de las evaluaciones de ciber riesgo:

• Las evaluaciones de ciber riesgo deben adoptar métodos cuantitativos basados en modelos probabilísticos.¹⁷
• Los mapas de calor no son precisos y causan más daño que beneficio, y no existe un solo estudio que demuestre que estos métodos hayan reducido el riesgo.¹⁸
• Las métricas de seguridad comúnmente disponibles que se aprovechan hoy en día no representan el estado de seguridad con precisión y, por lo tanto, son de poca ayuda para tomar decisiones informadas para administrar el riesgo de manera eficiente.^{19, 20}
• El equilibrio correcto entre exactitud y precisión es necesario. Los rangos, no los valores precisos, ayudan a definir el estado de riesgo.²¹
• El campo de seguridad cibernética tiene suficientes puntos de datos para hacer una inferencia estadísticamente. Menos puntos de datos implican una mayor incertidumbre, que es donde las estadísticas de las evaluaciones cuantitativas de riesgos ayudan.^{22, 23}

“Utilizamos la probabilidad porque carecemos de información perfecta, no a pesar de eso”.²⁴ Un elemento clave abordado en el libro del cual se toma esta cita es que las estadísticas ayudan a estimar los eventos raramente ocurrentes con conjuntos de datos mínimos o suficientes.

Elementos clave: Analistas, datos y herramientas

Es bien sabido que tres elementos—gente, proceso y tecnología—son lo esencial de cualquier transformación comercial exitosa. Del mismo modo, para la estimación del riesgo, los tres elementos que son clave para el análisis cuantitativo del ciber riesgo son las habilidades de los analistas, el tener los datos suficientes y aprovechan las herramientas comúnmente disponibles.

La habilidad de los analistas es extraer los datos que importan y realizar una estimación razonable. Considere el escenario del neumático calvo²⁵ al explicar la interpretación de los términos de riesgo y los cálculos mentales realizados por los profesionales basándose en supuestos no válidos. El punto es que las suposiciones inexactas pondrán en peligro todo el ejercicio de análisis de riesgos. Después de adquirir suficientes datos, se pueden implementar métodos estadísticos utilizando herramientas comúnmente disponibles, tales como Microsoft Office Excel, software basado en FAIR o herramientas como Analytica por Lumina.

El modelo FAIR es hoy en día un modelo ampliamente adoptado que utiliza Monte Carlo y la Técnica de Revision de la Evaluación de Programas (PERT) para estimar el riesgo. Del mismo modo, se ha sugerido un modelo que utiliza algunas tácticas de descomposición junto con las simulaciones de Monte Carlo y el método de Bayes. Se pueden realizar análisis simples o creación de prototipos aprovechando hojas de cálculo Excel con funciones estadísticas incorporadas. Para escenarios complejos y organizaciones más grandes, estas evaluaciones preliminares son escalables y pueden integrarse en soluciones de gobernanza empresarial, riesgo y cumplimiento (GRC) mediante el uso de lenguajes de programación como Python, R.²⁶

Caso de estudio: Riesgo debido a la pérdida de datos PHI a través de correo electrónico

Para mostrar cómo se puede hacer esto, un ejemplo para evaluar el riesgo de una falta de dirección de correo electrónico o pérdida de datos confidenciales a través del correo electrónico descrito en el blog del Instituto²⁷ FAIR fue elegido. El análisis se realizó parcialmente utilizando el método FAIR y las funciones de Excel se usaron para realizar la descomposición y estimar las pérdidas esperadas.²⁸

Los tres pasos principales en FAIR incluyen la definición del alcance, la realización de la investigación y mapear los resultados al modelo FAIR. Después de que estas se hayan establecido, uno finalmente puede tomar decisiones basadas en el resultado.

Definir alcance
Los elementos clave de cualquier escenario de riesgo son actor, tipo de amenaza, evento, activo y tiempo. Definir el alcance de un escenario es un paso crítico, y comprende identificar el activo en riesgo, el actor de la amenaza y el efecto. Los datos sensibles o críticos en el correo electrónico son el riesgo de los activos aquí. Un usuario interno es la amenaza. El usuario puede ser un usuario privilegiado que tiene acceso a datos confidenciales (como la información de salud protegida [PHI]) o un usuario no privilegiado que puede tener acceso a datos confidenciales (como la información de identificación personal [PII]). Un acto inadvertido o un acto intencional malicioso tendría el mismo efecto. Por lo tanto, si el acto es malicioso o inadvertido no importa aquí, a menos que se incluyan ciberdelincuentes, y están fuera del alcance de esta discusión en lo que respecta a los correos electrónicos enviados por los usuarios internos. El efecto de este tipo de acto será la pérdida de confidencialidad de la información crítica. Los escenarios de riesgo involucrados en este alcance se describen en la figura 4.

Investigación y mapa
En lugar de mapearlo al modelo FAIR en este paso, se utilizó otro modelo para realizar la descomposición y el análisis. Las fuentes de amenaza en el alcance anterior son los temas listados en la hoja de cálculo que se muestra en la figura 5. Los temas listados y la descomposición pueden ser cualquier cosa, incluidas las aplicaciones, las fuentes de amenazas, las unidades de negocio de una organización o las vulnerabilidades, según la preferencia. Esto determinaría si se trata de un análisis de riesgos o una evaluación de riesgos.

La ontología FAIR recomienda evaluar la frecuencia del evento de pérdida y la magnitud de la pérdida para evaluar el riesgo. Las siguientes son algunas preguntas que los profesionales del riesgo deben plantear a los expertos en la materia (SMEs) para evaluar la frecuencia de eventos de pérdida (LEF):²⁹

• ¿Con qué frecuencia se envían los datos de PHI por correo electrónico y cuántos registros de pacientes (en promedio) hay en un correo electrónico?
• ¿Con qué frecuencia un empleado entrega un correo electrónico a un destinatario incorrecto?
• ¿Está encriptada la PHI dentro de los correos electrónicos sin necesidad de iniciar sesión en una cuenta para acceder a los informes? Si es así, eso es una vulnerabilidad.

En función de las respuestas anteriores, se evalúa la probabilidad de que ocurra el evento. (Ver la segunda columna en la figura 5.) Esto también se puede descomponer aún más utilizando el método de Bayes.³⁰

Luego, la magnitud de la pérdida (en la metodología FAIR) se puede evaluar en dos pasos: pérdida primaria y secundaria. La pérdida de productividad y los costos de reemplazo ocurren principalmente como pérdida primaria. Las responsabilidades legales/multas, la pérdida de propiedad intelectual y los daños a la reputación ocurren como una pérdida secundaria. Los costos de respuesta a incidentes caen en categorías de pérdidas primarias y secundarias.

Para este caso de estudio, los costos principales son el tiempo de atención al cliente para manejar el problema del correo electrónico (investigar y responder al evento) y reemplazar al empleado (s) terminado (si tal cosa es parte de la aplicación de la política). No hay pérdida de productividad ya que no hay interrupción operativa. Los costos secundarios incluyen el ofrecimiento de monitoreo de crédito a los clientes, multas por parte de un regulador si se emitió información de salud y/o crédito personal, y posibles arreglos en las demandas de los clientes. También hay daños reputacionales, especialmente si se trata de una corporación que cotiza en bolsa. Con esto en perspectiva, la plantilla de Excel se aprovecha para estimar la magnitud de la pérdida descomponiéndola en observables: costo de reemplazo, costo de respuesta, costo en obligaciones y multas legales y costo de reputación. Conectando las estimaciones calibradas para estas variables de descomposición usando el conocimiento y los aportes de las SMEs brindan las pérdidas esperadas que se muestran en la figura 5. El rango de pasivos legales y multas, por ejemplo, debe incluir el 4 por ciento de facturación global anual o $23.7 millones de dólares (lo que sea mayor) multa que se aplica si GDPR se aplica a la organización.

Luego se evalúa la pérdida total y se ejecuta una simulación Monte Carlo de 100.000 escenarios de este tipo (figura 6).

Se diseña un histograma (figura 7) que ayuda a trazar la curva de superación de pérdidas (LEC) en la figura 8. Estos cálculos matemáticos y simulaciones se pueden realizar fácilmente aprovechando herramientas como Excel o R. La parte difícil es conseguir que las estimaciones sean precisas, y la experiencia por sí sola no ayudará. Obtener las estimaciones correctas implica plantear las preguntas correctas a las SMEs y reducirlas lentamente a un valor final. La presentación de las preguntas correctas proviene de la práctica junto con las herramientas (por ejemplo, RiskLens ‘CyberRisk Suite) que vienen con preguntas preconfiguradas que ayudarán al profesional del riesgo.

Tomando decisiones
Una vez que se hayan completado todos los cálculos, es hora de pintar una imagen que destaque el estado de riesgo actual en comparación con el apetito por el riesgo. El LEC que se muestra en la figura 8 muestra que hay un 30 por ciento de posibilidades de que la pérdida sea mayor de US $2.2 millones. Del mismo modo, hay un 10 por ciento de posibilidades de que la pérdida sea más de US $30 millones.

Se puede graficar un LEC similar después de completar el tratamiento de riesgo y apalancarlo para representar el riesgo residual. Además, para priorizar qué riesgo abordar primero, se evalúa el rendimiento del porcentaje de control en función de la reducción de pérdidas después de una implementación de control y el costo de control usando la siguiente fórmula.³¹ Esto compensa la creencia de que la seguridad no es una inversión que proporciona un rendimiento.³²

Rendimiento del porcentaje de control =

La Figura 9 muestra eventos de muestra que se categorizan en función del porcentaje³³ de control de devolución y una respuesta para mitigar, mitigar o rastrear inmediatamente es sugerido.

¿Lo que sigue?

Muchas organizaciones ya han aprovechado las evaluaciones de riesgo estadístico. Se está trabajando para que estos modelos estén ampliamente disponibles y aumenten conocimiento de los beneficios de abrazar la incertidumbre. Todo este progreso les simplificaría a las organizaciones para evaluar el ciber riesgo de una manera significativa en lugar de clasificarlo como un color específico o asignándole un valor poco realista. Esto, a su vez, ayudará a los proveedores de seguros a comprender con exactitud la responsabilidad que tienen que asumir y los en valentizará para obtener mejores precios y cobertura precisa. Aunque estos métodos estadísticos incluyen números que a menudo dejan perplejos a las juntas directivas y a los CISO, el hecho es que una pequeña vulnerabilidad de parcheo en una aplicación web podría resultar en una violación que puede costar millones o incluso miles de millones de dólares estadounidenses.³⁴ No hay duda de que la magnitud será aún mayor si tales violaciones ocurren en la era GDPR. Uno puede esperar para ser parte de los datos históricos o hacer los cálculos matemáticos (los números no mienten) por adelantado para mitigar el riesgo que realmente importa. Es posible que las organizaciones no necesiten evaluaciones estadísticas de ciber riesgos en el futuro cuando los datos históricos son abundantes y la incertidumbre es insignificante. Pero, hasta entonces, el objetivo es seguir reduciendo esa incertidumbre.

Notas finales

¹ Kenwell, B.; “Jim Cramer—Palo Alto Had a Monster Quarter,” The Street, 31 August 2016, https://www.thestreet.com/story/13690555/1/jim-cramer-palo-alto-had-a-monster-quarter.html
² Armerding, T.; “The 16 Biggest Data Breaches of the 21^st Century,” CSO, 7 September 2017, https://www.csoonline.com/article/2130877/data-breach/the-16-biggest-data-breaches-of-the-21st-century.html
³ Zacks Equity Research, “Three Hot Cybersecurity Stocks in Focus Post Equifax Data Breach,” 11 September 2017, https://www.zacks.com/stock/news/275355/3-hot-cybersecurity-stocks-in-focus-post-equifax-data-breach
⁴ Jones, J.; “Evolving Cyberrisk Practices to Meet Board-Level Reporting Needs,” ISACA Journal, vol. 1, 2017, https://www.isaca.org/resources/isaca-journal/issues
⁵ Newman, L.H.; “Equifax Officially Has No Excuse,” Wired, 14 September 2017, https://www.wired.com/story/equifax-breach-no-excuse
⁶ Suess, O.; “Fears of Hacking Increase Demand for Cyber Insurance,” Claim Journal, 10 May 2017, www.claimsjournal.com/news/international/2017/05/10/278379.htm
⁷ Cano, J. J.; “Cyberinsurance—The Challenge of Transferring Failure in a Digital, Globalized World,” ISACA Journal, vol. 5, 2015, https://www.isaca.org/resources/isaca-journal/issues
⁸ Ishaq, S. K.; “Cyberinsurance Value Generator or Cost Burden?” ISACA Journal, vol. 5, 2016, https://www.isaca.org/resources/isaca-journal/issues
⁹ Friedmand, S.; A. Thomas; “Demystifying Cyber Insurance Coverage,” Deloitte University Press, 23 February 2017, https://dupress.deloitte.com/dup-us-en/industry/financial-services/demystifying-cybersecurity-insurance.html
¹⁰ Acrisure, “The Relationship Between Cyber Security Regulation and Cyber Insurance,” 23 March 2017, https://acrisure.com/blog/relationship-cyber-security-regulation-cyber-insurance/
¹¹ Gonzalez, G.; “NAIC Data Security Model Law a Mixed Bag for Insurers,” Business Insurance, 16 August 2017, www.businessinsurance.com/article/20170816/NEWS06/912315213/NAIC-insurance-data-security-model-law-rigorous-costly-cyber-risk-management
¹² JLT, “GDPR Already Influencing Cyber Insurance Buying,” 4 July 2017, www.jlt.com/specialty/our-insights/publications/cyber-decoder/gdpr-already-influencing-cyber-insurance-buying
¹³ Department of Homeland Security, “Cybersecurity Insurance,” USA, https://www.dhs.gov/cybersecurity-insurance
¹⁴ Freund, J.; J. Jones; Measuring and Managing Information Risk: A FAIR Approach, Butterworth-Heinemann, UK, 2015
¹⁵ Op cit Jones
¹⁶ Cave, A.; “Culture Eats Strategy for Breakfast. So What’s For Lunch?” Forbes, 9 November 2017, https:// www.forbes.com/sites/andrewcave/2017/11/09/culture-eats-strategy-for-breakfast-so-whats-for-lunch/#54e8337a7e0f
¹⁷ Hubbard, D.; R. Siersen; How to Measure Anything in Cyber Security, John Wiley & Sons, USA, 2016
¹⁸ Hubbard, D. W.; Failure of Risk Management: Why It’s Broken and How to Fix It, John Wiley & Sons, USA, 2009
¹⁹ Axelrod, C. W.; “Accounting for Value and Uncertainty in Security Metrics,” ISACA Journal, vol. 6, 2008, https://www.isaca.org/resources/isaca-journal/issues
²⁰ Axlerod, C. W.; “Cybersecurity Risk Metrics…Why Don’t They Get It?” 17 April 2017, BlogInfoSec. com, www.bloginfosec.com/2017/04/17/cybersecurity-risk-metrics-why-dont-they-get-it/
²¹ Op cit Jones
²² Jones, J.; “No Data? No Problem,” FAIR Institute Blog, 18 April 2017, www.fairinstitute.org/blog/no-data-no-problem
²³ Op cit Hubbard and Siersen
²⁴ Ibid.
²⁵ FAIR Institute Staff, Video: “What is Risk? The Bald Tire Scenario [Updated],” FAIR Institute, 8 August 2017, www.fairinstitute.org/blog/video-what-is-risk-the-bald-tire-scenario
²⁶ Severski, D.; Open Source Toolkit for Strategic Information Security Risk Assessment, https://github.com/davidski/evaluator
²⁷ Merritt, R.; “Anatomy of a FAIR Risk Analysis: Confidential Data in Email,” FAIR Institute, 30 July 2017, www.fairinstitute.org/blog/anatomy-of-a-fair-risk-analysis-confidential-data-in-email
²⁸ Op cit Hubbard and Siersen
²⁹ Op cit Merritt
³⁰ Op cit Hubbard and Siersen
³¹ Ibid.
³² Schneier, B.; “Security ROI,” Schneier on Security, 2 September 2008, https://www.schneier.com/blog/archives/2008/09/security_roi_1.html
³³ Hubbard, D.; “Assessing Cybersecurity Risk Within the Finance Office,” Government Finance Officers Association, www.gfoa.org/sites/default/files/AssessingCybersecurityRiskWithinFinanceOffice.pdf
³⁴ Kim, T.; “Equifax Shares Plunge the Most in 18 Years as Street Says Breach Will Cost Company Hundreds of Millions,” CNBC, 8 September 2017, https://www.cnbc.com/2017/09/08/equifax-plunges-as-breach-will-cost-company-hundreds-of-millions.html