Key Risk Indicators (KRIs) são medidas que ajudam a monitorar o risco de uma empresa e informar como eles podem ser minimizados até atingirem níveis aceitáveis. Como ferramenta de relatório, o KRI permite que a equipe de segurança capture a atenção do Board e outros acionistas. Se o indicador não pode ser medido, então ele não pode ser usado para acompanhar o risco. Se o Board não estiver engajado com a informação que o KRI apresenta, então ele dificilmente será comovido a tomar alguma ação.

Perda financeira representa uma linguagem comum usada pelas empresas, assim como outras partes como judicial e agências reguladoras. O Board fala a linguagem financeira e teme a perda. A perda é algo que pode ser mensurado, acompanhado e ajustado. Ao modelar e simular perda financeira como parte quantitativo de um risk assessment, ela se torna um indicador chave para o risco de cyber security de uma empresa.

Existem outros indicadores que afetam a perda financeira e que devem ser monitorados também, contudo, a perda financeira deve ser o principal indicativo de risco.

Em muitos casos, o Board não entende completamente o significado de um risco quando ele está classificado como “alto” pelo fato de que, por exemplo, ele irá causar queda do sistema por 72 horas e necessitará outras 48 para reparo. Contudo, eles irão entender o risco se for dito que a empresa irá perder uma quantidade X de dinheiro no próximo ano devido a risco de cyber security. A partir disso, de acordo com a forma de atuar do Board, o orçamento poderá ser alocado para remediar os riscos identificados até atingirem níveis aceitáveis.