In the last years there have been a scholars increasing interest in cybersecurity risk measurement. This paper proposes a methodology to measure cyber risk, using ordinal data, to prioritise appropriate interventions. The method relies on the construction of a Criticality index: a new measure of risk based on the cumulative probabilities of the ordinal variable that represents the level of severity for different risk event. Its properties are derived and compared with alternative measures employed in operational risk measurement. we apply our proposal to real data of a telecommunication service company. The proposed measure is found to be quite effective to rank cyber risk types and, therefore, allow selective preventive actions. Abstract Negli ultimi anni si `e registrato un interesse crescente da parte degli studiosi al problema del cyber rischio e alla sua misurazione. Dato che in tale contesto i dati sono spesso di natura ordinale, nel presente lavoro proponiamo un indice per stimare il cyber rischio utilizzando dati qualitativi riguardanti il livello di severit`a dei cyber attacchi. Noi analizziamo le caratteristiche dell’indice, e lo confrontiamo con misure alternative utilizzate nella valutazione del rischio operativo. La nostra proposta viene applicata ai dati di una compagnia di telecomunicazioni, riguardanti la severit`a dei cyber attacchi subiti dai clienti della compagnia. L’indice risulta efficace per classificare le diverse linee di business in base alla loro rischiosit`a e quindi per consentire tempestive azioni preventive.
Facchinetti, S., Giudici, P., Osmetti, S. A., How to measure cybersecurity risk, in Book of Short Papers SIS 2018, (Palermo, 20-22 June 2018), Pearson, Palermo 2018:2018 1643-1645 [http://hdl.handle.net/10807/129565]
How to measure cybersecurity risk
Facchinetti, Silvia;Osmetti, Silvia Angela
2018
Abstract
In the last years there have been a scholars increasing interest in cybersecurity risk measurement. This paper proposes a methodology to measure cyber risk, using ordinal data, to prioritise appropriate interventions. The method relies on the construction of a Criticality index: a new measure of risk based on the cumulative probabilities of the ordinal variable that represents the level of severity for different risk event. Its properties are derived and compared with alternative measures employed in operational risk measurement. we apply our proposal to real data of a telecommunication service company. The proposed measure is found to be quite effective to rank cyber risk types and, therefore, allow selective preventive actions. Abstract Negli ultimi anni si `e registrato un interesse crescente da parte degli studiosi al problema del cyber rischio e alla sua misurazione. Dato che in tale contesto i dati sono spesso di natura ordinale, nel presente lavoro proponiamo un indice per stimare il cyber rischio utilizzando dati qualitativi riguardanti il livello di severit`a dei cyber attacchi. Noi analizziamo le caratteristiche dell’indice, e lo confrontiamo con misure alternative utilizzate nella valutazione del rischio operativo. La nostra proposta viene applicata ai dati di una compagnia di telecomunicazioni, riguardanti la severit`a dei cyber attacchi subiti dai clienti della compagnia. L’indice risulta efficace per classificare le diverse linee di business in base alla loro rischiosit`a e quindi per consentire tempestive azioni preventive.
I documenti in IRIS sono protetti da copyright e tutti i diritti sono riservati, salvo diversa indicazione.
