如何为您自己的组织量化数据泄露的实际成本

对于企业管理者来讲，需要了解组织面临的最大风险是什么。在当今的商业环境中，所有组织都面临着众多颠覆性挑战，这些挑战可能会创造重大的新商机，但也会增加组织的潜在网络安全风险。为了解决这些问题，我们需要将我们的稀缺资源集中在那些将对我们的业务产生最大破坏性影响的业务风险上。

组织的安全环境需要风险量化，作为风险管理的全面战略的一部分，以适应不断变化的威胁环境。这一因素是2021年年度《数据泄露成本报告》将安全风险量化作为一个重要议题进行介绍和讨论的原因。

数据泄露成本报告让你对数据泄露的潜在商业影响有一个高层次的认识。通过回顾2020年在全球范围内收集到的数百个数据泄露事件的趋势，你可以得到你所在行业和地理位置的数据泄露所面临的成本范围的情况。使用风险量化的客户可以确定他们自己的具体风险情况，包括年度概率，这可能高于或低于数据泄露成本的数据。

安全风险量化报告的重点

该报告研究了17个国家和地区以及17个不同行业的537起真实入侵事件。在2020年的报告中，第三方软件的漏洞被列为最常见的四个初始攻击因素之一。

在调查中，第三方软件漏洞给公司造成的平均成本为433万美元，占入侵事件的14%。这些网络攻击包括供应链和物联网(IoT)。

按照同样的思路，兼并和收购有很高的云安全考虑。假设你的企业吸收的一家公司遇到了未向你披露的数据泄露事件。当公众得知这一消息时，你的企业可能会出现以下代价高昂的后果：

譬如工作流程的中断、商业账户的损失、公开交易股票的贬值、纠正损失所需的监管和法律费用等。

事实上，所有费用加起来可能会超过公司合并或收购的全部成本。

公平方法和威胁情报如何帮助数据泄露

您可以通过财务预测和概率来评估数据泄露对公司的潜在影响。该过程将威胁情报与信息风险因子分析(FAIR)模型相结合。

使用FAIR从财务角度量化组织的安全风险，该方法提供了网络风险变量的审查，如违反事件的频率，漏洞和安全强度。通过使用这些数据，威胁情报领域的安全专家可以评估威胁参与者的能力以及他们攻击你的企业的可能性。通过对这些关键变量的统计分析，你可以确定当前控制或流程中的漏洞，这些漏洞将使你的组织面临更大的财务损失风险。

例如，报告指出了一个金融服务机构寻求解决敏感数据泄露的真实参与。金融业的平均水平和从以前的客户业务中获得的经验是进行统计分析的输入。这些活动发现了以下假设。

• 威胁事件频率：每年2-4次
• 脆弱性：5%-15%
• 响应时间：50-150个工时
• 基于修复和恢复所需技能水平的员工工资。每小时75-150美元

根据这些数字，数据泄露造成的平均经济损失包括：

• 最大的主要损失形式：响应成本
• 最大的次要损失形式：业务损失
• 最严重事件：1890万美元
• 损失超过100万美元的概率：30%
• 年风险最高：570万美元

结果显然因行业和地域而异，但这一情景显示了许多组织领导人发现的典型问题，他们没有意识到他们是如何暴露在昂贵的数据泄露中。

你的组织如何应对特定风险

风险量化提倡企业高管和IT安全官员共同解决数据泄露对其组织的破坏的概念。所有各方都集中他们稀缺的资源来处理那些能给企业带来最大破坏性损失影响的风险。

这些考虑意味着风险量化提供了一个比事件响应计划等更全面的持续安全问题的观点。事件响应计划并不是网络危机管理计划。虽然事件响应计划有帮助，但你的组织需要更多的帮助来应对不断变化的安全威胁。

您的组织可能缺乏内部资源或人员来为您的特定需求定制风险量化。在这种情况下，可以通过第三方安全专家提供安全服务。譬如对潜在破坏性业务风险进行评估，并以财务术语量化您所面临的安全风险情景的潜在业务影响;就如何通过优先战略和路线图减少这些业务风险提出建议

协助管理这些风险，主动洞察并报告评估风险的持续状态等。[来源：ITPUB]