對于企業(yè)管理者來講，需要了解組織面臨的最大風(fēng)險是什么。在當(dāng)今的商業(yè)環(huán)境中，所有組織都面臨著眾多顛覆性挑戰(zhàn)，這些挑戰(zhàn)可能會創(chuàng)造重大的新商機，但也會增加組織的潛在網(wǎng)絡(luò)安全風(fēng)險。為了解決這些問題，我們需要將我們的稀缺資源集中在那些將對我們的業(yè)務(wù)產(chǎn)生最大破壞性影響的業(yè)務(wù)風(fēng)險上。

[[420731]]

組織的安全環(huán)境需要風(fēng)險量化，作為風(fēng)險管理的全面戰(zhàn)略的一部分，以適應(yīng)不斷變化的威脅環(huán)境。這一因素是2021年年度《數(shù)據(jù)泄露成本報告》將安全風(fēng)險量化作為一個重要議題進行介紹和討論的原因。

數(shù)據(jù)泄露成本報告讓你對數(shù)據(jù)泄露的潛在商業(yè)影響有一個高層次的認(rèn)識。通過回顧2020年在全球范圍內(nèi)收集到的數(shù)百個數(shù)據(jù)泄露事件的趨勢，你可以得到你所在行業(yè)和地理位置的數(shù)據(jù)泄露所面臨的成本范圍的情況。使用風(fēng)險量化的客戶可以確定他們自己的具體風(fēng)險情況，包括年度概率，這可能高于或低于數(shù)據(jù)泄露成本的數(shù)據(jù)。

安全風(fēng)險量化報告的重點

該報告研究了17個國家和地區(qū)以及17個不同行業(yè)的537起真實入侵事件。在2020年的報告中，第三方軟件的漏洞被列為最常見的四個初始攻擊因素之一。

在調(diào)查中，第三方軟件漏洞給公司造成的平均成本為433萬美元，占入侵事件的14%。這些網(wǎng)絡(luò)攻擊包括供應(yīng)鏈和物聯(lián)網(wǎng)(IoT)。

按照同樣的思路，兼并和收購有很高的云安全考慮。假設(shè)你的企業(yè)吸收的一家公司遇到了未向你披露的數(shù)據(jù)泄露事件。當(dāng)公眾得知這一消息時，你的企業(yè)可能會出現(xiàn)以下代價高昂的后果：

譬如工作流程的中斷、商業(yè)賬戶的損失、公開交易股票的貶值、糾正損失所需的監(jiān)管和法律費用等。

事實上，所有費用加起來可能會超過公司合并或收購的全部成本。

公平方法和威脅情報如何幫助數(shù)據(jù)泄露

您可以通過財務(wù)預(yù)測和概率來評估數(shù)據(jù)泄露對公司的潛在影響。該過程將威脅情報與信息風(fēng)險因子分析(FAIR)模型相結(jié)合。

使用FAIR從財務(wù)角度量化組織的安全風(fēng)險，該方法提供了網(wǎng)絡(luò)風(fēng)險變量的審查，如違反事件的頻率，漏洞和安全強度。通過使用這些數(shù)據(jù)，威脅情報領(lǐng)域的安全專家可以評估威脅參與者的能力以及他們攻擊你的企業(yè)的可能性。通過對這些關(guān)鍵變量的統(tǒng)計分析，你可以確定當(dāng)前控制或流程中的漏洞，這些漏洞將使你的組織面臨更大的財務(wù)損失風(fēng)險。

例如，報告指出了一個金融服務(wù)機構(gòu)尋求解決敏感數(shù)據(jù)泄露的真實參與。金融業(yè)的平均水平和從以前的客戶業(yè)務(wù)中獲得的經(jīng)驗是進行統(tǒng)計分析的輸入。這些活動發(fā)現(xiàn)了以下假設(shè)。

• 威脅事件頻率：每年2-4次
• 脆弱性：5%-15%
• 響應(yīng)時間：50-150個工時
• 基于修復(fù)和恢復(fù)所需技能水平的員工工資。每小時75-150美元

根據(jù)這些數(shù)字，數(shù)據(jù)泄露造成的平均經(jīng)濟損失包括：

• 最大的主要損失形式：響應(yīng)成本
• 最大的次要損失形式：業(yè)務(wù)損失
• 最嚴(yán)重事件：1890萬美元
• 損失超過100萬美元的概率：30%
• 年風(fēng)險最高：570萬美元

結(jié)果顯然因行業(yè)和地域而異，但這一情景顯示了許多組織領(lǐng)導(dǎo)人發(fā)現(xiàn)的典型問題，他們沒有意識到他們是如何暴露在昂貴的數(shù)據(jù)泄露中。

你的組織如何應(yīng)對特定風(fēng)險

風(fēng)險量化提倡企業(yè)高管和IT安全官員共同解決數(shù)據(jù)泄露對其組織的破壞的概念。所有各方都集中他們稀缺的資源來處理那些能給企業(yè)帶來最大破壞性損失影響的風(fēng)險。

這些考慮意味著風(fēng)險量化提供了一個比事件響應(yīng)計劃等更全面的持續(xù)安全問題的觀點。事件響應(yīng)計劃并不是網(wǎng)絡(luò)危機管理計劃。雖然事件響應(yīng)計劃有幫助，但你的組織需要更多的幫助來應(yīng)對不斷變化的安全威脅。

您的組織可能缺乏內(nèi)部資源或人員來為您的特定需求定制風(fēng)險量化。在這種情況下，可以通過第三方安全專家提供安全服務(wù)。譬如對潛在破壞性業(yè)務(wù)風(fēng)險進行評估，并以財務(wù)術(shù)語量化您所面臨的安全風(fēng)險情景的潛在業(yè)務(wù)影響;就如何通過優(yōu)先戰(zhàn)略和路線圖減少這些業(yè)務(wù)風(fēng)險提出建議

協(xié)助管理這些風(fēng)險，主動洞察并報告評估風(fēng)險的持續(xù)狀態(tài)等。