Cyber Risk Quantification maakt veel betere risicogebaseerde besluitvorming mogelijk in vergelijking met kwalitatieve risicoanalyse.
Jack Jones, Fair Institute:
"We bestaan als een beroep om onze organisaties te helpen de frequentie en omvang van verliesgebeurtenisscenario's te beheren. De gangbare risicomeetpraktijken van vandaag ondersteunen dat doel niet" - met name het gebruik van controlekaders zoals NIST CSF of volwassenheidsmodellen zoals C2M2 als vervanging voor echte risicometing.
Als het goed wordt gedaan, zou cyberrisicoanalyse resultaten moeten opleveren die het mogelijk maken om cybersecurityprojecten te prioriteren op basis van kosten-batenanalyse, en om risico's te communiceren in de zakelijke termen die de organisatie begrijpt, aldus Jack. Hij schetste drie vereisten om dat niveau te bereiken.
TrustMatters biedt ondersteuning in het maken van de culturele verschuiving naar Cyber Risk Quantification.