遠程勞動力的這種突然且意想不到的變化對企業提出了挑戰，要求他們尋找新的協作和共享信息的方法。盡管應用程序和程序可能有所不同，但它們都有一個共同點：云。

無論是否流行，現實情況是網絡安全風險并不會在全球健康危機發生后消失或減少。事實上，許多人認為事實恰恰相反。除此之外，突然轉向云托管解決方案可能會影響您的網絡風險暴露。使用 RiskLens 和信息風險因子分析 (FAIR) 模型，您可以確定該變化對您的利潤的影響程度。

要了解風險暴露的變化，您需要從相關場景中分析您面臨的風險，首先假設資產存儲在本地，然后假設它是云托管的。

有許多風險場景與這種情況相關。我建議選擇最有可能進行分析的 3-5 個，以獲得總損失風險的“全局”概念。如果您對所需的工作量猶豫不決，請不要擔心 - 通過使用RiskLens 平臺的分類功能，您可以在午餐時間分析您選擇的場景。

出于本練習的目的，我們將重點關注以下場景：

惡意外部行為者（威脅）對 XYZ 數據庫（資產）中包含的敏感信息進行機密性破壞（影響）會帶來多少風險？

第 1 步：現在的曝光度是多少？（本地）

為了了解當前與 XYZ 數據庫中的敏感信息泄露相關的損失風險，您需要了解兩件事：XYZ 數據庫中包含的敏感信息泄露發生的頻率（用公平術語來說，即  “損失事件 頻率”）以及每次發生的財務損失風險（損失幅度）。

(1) 丟失事件頻率

根據您擁有的信息，可以選擇進一步深入并評估丟失事件頻率的組成部分：外部惡意行為者嘗試破壞 XYZ 數據庫中的敏感信息的頻率（威脅事件頻率）以及嘗試成功的概率（漏洞）。

假設該事件以前沒有在組織中發生過，請考慮這是否是因為它根本沒有被嘗試過（考慮信息的價值、組織本身的可見性、數據庫的公眾知名度等），還是因為它由于控制/流程到位而未能成功？

(2) 損失幅度

損失幅度分為兩個主要部分；主要和次要損失由六種形式組成：反應、替代、生產力、競爭優勢、聲譽以及罰款和判決。對于每種情況，必須確定六種情況中哪一種適用。對于數據庫泄露，我期望得到以下結果：響應（主要）、響應（次要）、罰款和判決（次要）以及聲譽（次要）。了解有關捕獲損失幅度的更多信息。

上圖顯示了每年發生特定年度財務損失風險（年化損失風險）或更多風險的可能性。在此示例中，給定年份發生 1.072 億美元或更多損失的可能性約為 62%。

第 2 步：當采用云托管時，曝光度會如何？

要估計遷移到云托管解決方案后將面臨多少風險，您必須首先確定哪個主要組件將受到更改的影響：

• 嘗試事件的頻率（威脅事件頻率）
• 事件成功的頻率（漏洞）
• 如果發生的話會有多糟糕（損失幅度）

通常，這些領域中只有一個受到重大影響，但可能因組織而異。一旦確定了哪些組件受到影響，您就可以估計影響的程度。例如，您可能會確定，由于云提供商加強了外圍控制并提高了修補節奏，遷移到云將導致漏洞減少 20%。

 在云托管解決方案的未來狀態下，現在最有可能的年化損失風險為 0 美元。這意味著在大多數模擬年份（在本例中使用 RiskLens 平臺運行帶有標準迭代的蒙特卡羅模擬的 5,000 年）中，損失事件并未發生，這意味著損失風險為 0 美元。這通常是由于頻率低（每年少于一次）、漏洞低或兩者兼而有之的結果。在本例中，是兩者的結合推動了這一結果。

第三步：有什么區別？

了解在考慮本地（當前狀態）或云托管（未來狀態）解決方案時因 XYZ 數據庫中的敏感數據泄露而面臨的風險程度后，最后一步是評估投資回報率。

比較圖顯示，遷移到云托管解決方案后，平均年化損失風險減少了約 1.02 億美元。組織的下一步是確定遷移所需的財務投資金額（資本和 FTE），以計算投資回報 (ROI)。

關于云托管解決方案是否會帶來更多或更少風險的持續爭論并不是一個非黑即白的問題。下次您的組織考慮在云中遷移或建立新系統時，請確保全面的  定量風險評估成為決策的一部分