如何為您自己的組織量化資料洩露的實際成本

對於企業管理者來講，需要了解組織面臨的最大風險是什麼。在當今的商業環境中，所有組織都面臨著眾多顛覆性挑戰，這些挑戰可能會創造重大的新商機，但也會增加組織的潛在網路安全風險。為了解決這些問題，我們需要將我們的稀缺資源集中在那些將對我們的業務產生最大破壞性影響的業務風險上。

組織的安全環境需要風險量化，作為風險管理的全面戰略的一部分，以適應不斷變化的威脅環境。這一因素是2021年年度《資料洩露成本報告》將安全風險量化作為一個重要議題進行介紹和討論的原因。

資料洩露成本報告讓你對資料洩露的潛在商業影響有一個高層次的認識。透過回顧2020年在全球範圍內收集到的數百個資料洩露事件的趨勢，你可以得到你所在行業和地理位置的資料洩露所面臨的成本範圍的情況。使用風險量化的客戶可以確定他們自己的具體風險情況，包括年度機率，這可能高於或低於資料洩露成本的資料。

安全風險量化報告的重點

該報告研究了17個國家和地區以及17個不同行業的537起真實入侵事件。在2020年的報告中，第三方軟體的漏洞被列為最常見的四個初始攻擊因素之一。

在調查中，第三方軟體漏洞給公司造成的平均成本為433萬美元，佔入侵事件的14%。這些網路攻擊包括供應鏈和物聯網(IoT)。

按照同樣的思路，兼併和收購有很高的雲安全考慮。假設你的企業吸收的一家公司遇到了未向你披露的資料洩露事件。當公眾得知這一訊息時，你的企業可能會出現以下代價高昂的後果：

譬如工作流程的中斷、商業賬戶的損失、公開交易股票的貶值、糾正損失所需的監管和法律費用等。

事實上，所有費用加起來可能會超過公司合併或收購的全部成本。

公平方法和威脅情報如何幫助資料洩露

您可以透過財務預測和機率來評估資料洩露對公司的潛在影響。該過程將威脅情報與資訊風險因子分析(FAIR)模型相結合。

使用FAIR從財務角度量化組織的安全風險，該方法提供了網路風險變數的審查，如違反事件的頻率，漏洞和安全強度。透過使用這些資料，威脅情報領域的安全專家可以評估威脅參與者的能力以及他們攻擊你的企業的可能性。透過對這些關鍵變數的統計分析，你可以確定當前控制或流程中的漏洞，這些漏洞將使你的組織面臨更大的財務損失風險。

例如，報告指出了一個金融服務機構尋求解決敏感資料洩露的真實參與。金融業的平均水平和從以前的客戶業務中獲得的經驗是進行統計分析的輸入。這些活動發現了以下假設。

●威脅事件頻率：每年2-4次

●脆弱性：5%-15%

●響應時間：50-150個工時

●基於修復和恢復所需技能水平的員工工資。每小時75-150美元

根據這些數字，資料洩露造成的平均經濟損失包括:

●最大的主要損失形式:響應成本

●最大的次要損失形式:業務損失

●最嚴重事件:1890萬美元

●損失超過100萬美元的機率:30%

●年風險最高:570萬美元

結果顯然因行業和地域而異，但這一情景顯示了許多組織領導人發現的典型問題，他們沒有意識到他們是如何暴露在昂貴的資料洩露中。

你的組織如何應對特定風險

風險量化提倡企業高管和IT安全官員共同解決資料洩露對其組織的破壞的概念。所有各方都集中他們稀缺的資源來處理那些能給企業帶來最大破壞性損失影響的風險。

這些考慮意味著風險量化提供了一個比事件響應計劃等更全面的持續安全問題的觀點。事件響應計劃並不是網路危機管理計劃。雖然事件響應計劃有幫助，但你的組織需要更多的幫助來應對不斷變化的安全威脅。

您的組織可能缺乏內部資源或人員來為您的特定需求定製風險量化。在這種情況下，可以透過第三方安全專家提供安全服務。譬如對潛在破壞性業務風險進行評估，並以財務術語量化您所面臨的安全風險情景的潛在業務影響;就如何透過優先戰略和路線圖減少這些業務風險提出建議

協助管理這些風險，主動洞察並報告評估風險的持續狀態等。