如何为您自己的组织量化数据泄露的实际成本在当今的商业环境中,所有组织都面临着许多颠覆性挑战,这些挑战可以创造重要的新商机,但也会增加组织的潜在网络安全风险。为了解决这些问题,我们需要将我们的稀缺资源集中在那些将对我们的业务产生最大破坏性影响的业务风险上。组织的安全环境需要将风险量化作为全面风险管理策略的一部分,以适应不断变化的威胁环境。这个因素也是为什么2021年的《数据泄露成本报告》将安全风险量化作为一个重要的话题来介绍和讨论的原因。数据泄露成本报告可让您深入了解数据泄露的潜在业务影响。通过回顾2020年全球收集的数百起数据泄露事件的趋势,您可以了解您的行业和地理位置因数据泄露事件所面临的成本范围。使用风险量化的客户可以确定他们自己的特定风险状况,包括年度概率,这可能高于或低于数据泄露成本的数据。安全风险量化报告要点该报告研究了17个国家和地区、17个不同行业的537起真实入侵事件。在2020年的报告中,第三方软件中的漏洞被列为四种最常见的初始攻击因素之一。在调查中,第三方软件漏洞给企业造成的损失平均为433万美元,占入侵事件的14%。这些网络攻击包括供应链和物联网(IoT)。同样,合并和收购具有很高的云安全考虑因素。假设您的企业招聘的一家公司经历了一次未向您披露的数据泄露事件。当消息公之于众时,您的企业可能会遭受代价高昂的后果,例如工作流程中断、企业账户损失、公开交易股票贬值、纠正损失的监管和法律成本等等。事实上,所有费用加起来可能超过公司合并或收购的全部成本。公平的方法和威胁情报如何帮助解决数据泄露问题您可以使用财务预测和概率来评估数据泄露对您公司的潜在影响。该过程将威胁情报与信息风险因素分析(FAIR)模型相结合。使用FAIR从财务角度量化组织的安全风险,FAIR提供对网络风险变量的审查,例如违规频率、漏洞和安全强度。通过使用这些数据,威胁情报领域的安全专家可以评估威胁参与者的能力及其攻击您企业的可能性。通过对这些关键变量的统计分析,您可以识别当前控制或流程中的差距,这些差距会使您的组织面临更大的财务损失风险。例如,该报告指出真正参与金融服务组织解决敏感数据泄露的问题。金融行业的平均值和从以前的客户业务中获得的经验是统计分析的输入。这些活动揭示了以下假设。威胁事件频率:每年2-4次漏洞:5%-15%响应时间:50-150工时员工工资取决于补救和恢复所需的技能水平。每小时75-150美元根据这些数字,数据泄露造成的平均经济损失包括:最大的主要损失形式:响应成本最大的次要损失形式:业务损失最坏的事件:1890万美元损失超过100万美元的概率:30%最高年度风险:570万美元结果显然因行业和地域而异,但这种情况显示了许多组织领导者发现的典型问题,他们没有意识到他们在代价高昂的数据泄露中的暴露程度。您的组织如何解决特定风险风险量化促进了业务主管和IT安全人员共同努力解决数据泄露可能对其组织造成的损害的概念。各方都将他们的稀缺资源集中在那些对业务造成最具破坏性损失影响的风险上。这些考虑意味着风险量化提供了比事件响应计划等更全面的持续安全问题视图。事件响应计划不是网络危机管理计划。虽然事件响应计划有所帮助,但您的组织需要更多帮助来应对不断发展的安全威胁。您的组织可能缺乏内部资源或人员来为您的特定需求定制风险量化。在这种情况下,可能会通过第三方安全专家提供安全服务。例如评估潜在的破坏性业务风险,并从财务角度量化您所面临的安全风险场景的潜在业务影响;就如何通过优先战略和路线图降低这些业务风险提出建议,以协助管理这些风险、主动洞察和报告评估风险的持续状态等。
