對(duì)于企業(yè)管理者來(lái)講，需要了解組織面臨的最大風(fēng)險(xiǎn)是什么。在當(dāng)今的商業(yè)環(huán)境中，所有組織都面臨著眾多顛覆性挑戰(zhàn)，這些挑戰(zhàn)可能會(huì)創(chuàng)造重大的新商機(jī)，但也會(huì)增加組織的潛在網(wǎng)絡(luò)安全風(fēng)險(xiǎn)。為了解決這些問題，我們需要將我們的稀缺資源集中在那些將對(duì)我們的業(yè)務(wù)產(chǎn)生最大破壞性影響的業(yè)務(wù)風(fēng)險(xiǎn)上。

[[420731]]

組織的安全環(huán)境需要風(fēng)險(xiǎn)量化，作為風(fēng)險(xiǎn)管理的全面戰(zhàn)略的一部分，以適應(yīng)不斷變化的威脅環(huán)境。這一因素是2021年年度《數(shù)據(jù)泄露成本報(bào)告》將安全風(fēng)險(xiǎn)量化作為一個(gè)重要議題進(jìn)行介紹和討論的原因。

數(shù)據(jù)泄露成本報(bào)告讓你對(duì)數(shù)據(jù)泄露的潛在商業(yè)影響有一個(gè)高層次的認(rèn)識(shí)。通過(guò)回顧2020年在全球范圍內(nèi)收集到的數(shù)百個(gè)數(shù)據(jù)泄露事件的趨勢(shì)，你可以得到你所在行業(yè)和地理位置的數(shù)據(jù)泄露所面臨的成本范圍的情況。使用風(fēng)險(xiǎn)量化的客戶可以確定他們自己的具體風(fēng)險(xiǎn)情況，包括年度概率，這可能高于或低于數(shù)據(jù)泄露成本的數(shù)據(jù)。

安全風(fēng)險(xiǎn)量化報(bào)告的重點(diǎn)

該報(bào)告研究了17個(gè)國(guó)家和地區(qū)以及17個(gè)不同行業(yè)的537起真實(shí)入侵事件。在2020年的報(bào)告中，第三方軟件的漏洞被列為最常見的四個(gè)初始攻擊因素之一。

在調(diào)查中，第三方軟件漏洞給公司造成的平均成本為433萬(wàn)美元，占入侵事件的14%。這些網(wǎng)絡(luò)攻擊包括供應(yīng)鏈和物聯(lián)網(wǎng)(IoT)。

按照同樣的思路，兼并和收購(gòu)有很高的云安全考慮。假設(shè)你的企業(yè)吸收的一家公司遇到了未向你披露的數(shù)據(jù)泄露事件。當(dāng)公眾得知這一消息時(shí)，你的企業(yè)可能會(huì)出現(xiàn)以下代價(jià)高昂的后果：

譬如工作流程的中斷、商業(yè)賬戶的損失、公開交易股票的貶值、糾正損失所需的監(jiān)管和法律費(fèi)用等。

事實(shí)上，所有費(fèi)用加起來(lái)可能會(huì)超過(guò)公司合并或收購(gòu)的全部成本。

公平方法和威脅情報(bào)如何幫助數(shù)據(jù)泄露

您可以通過(guò)財(cái)務(wù)預(yù)測(cè)和概率來(lái)評(píng)估數(shù)據(jù)泄露對(duì)公司的潛在影響。該過(guò)程將威脅情報(bào)與信息風(fēng)險(xiǎn)因子分析(FAIR)模型相結(jié)合。

使用FAIR從財(cái)務(wù)角度量化組織的安全風(fēng)險(xiǎn)，該方法提供了網(wǎng)絡(luò)風(fēng)險(xiǎn)變量的審查，如違反事件的頻率，漏洞和安全強(qiáng)度。通過(guò)使用這些數(shù)據(jù)，威脅情報(bào)領(lǐng)域的安全專家可以評(píng)估威脅參與者的能力以及他們攻擊你的企業(yè)的可能性。通過(guò)對(duì)這些關(guān)鍵變量的統(tǒng)計(jì)分析，你可以確定當(dāng)前控制或流程中的漏洞，這些漏洞將使你的組織面臨更大的財(cái)務(wù)損失風(fēng)險(xiǎn)。

例如，報(bào)告指出了一個(gè)金融服務(wù)機(jī)構(gòu)尋求解決敏感數(shù)據(jù)泄露的真實(shí)參與。金融業(yè)的平均水平和從以前的客戶業(yè)務(wù)中獲得的經(jīng)驗(yàn)是進(jìn)行統(tǒng)計(jì)分析的輸入。這些活動(dòng)發(fā)現(xiàn)了以下假設(shè)。

• 威脅事件頻率：每年2-4次
• 脆弱性：5%-15%
• 響應(yīng)時(shí)間：50-150個(gè)工時(shí)
• 基于修復(fù)和恢復(fù)所需技能水平的員工工資。每小時(shí)75-150美元

根據(jù)這些數(shù)字，數(shù)據(jù)泄露造成的平均經(jīng)濟(jì)損失包括：

• 最大的主要損失形式：響應(yīng)成本
• 最大的次要損失形式：業(yè)務(wù)損失
• 最嚴(yán)重事件：1890萬(wàn)美元
• 損失超過(guò)100萬(wàn)美元的概率：30%
• 年風(fēng)險(xiǎn)最高：570萬(wàn)美元

結(jié)果顯然因行業(yè)和地域而異，但這一情景顯示了許多組織領(lǐng)導(dǎo)人發(fā)現(xiàn)的典型問題，他們沒有意識(shí)到他們是如何暴露在昂貴的數(shù)據(jù)泄露中。

你的組織如何應(yīng)對(duì)特定風(fēng)險(xiǎn)

風(fēng)險(xiǎn)量化提倡企業(yè)高管和IT安全官員共同解決數(shù)據(jù)泄露對(duì)其組織的破壞的概念。所有各方都集中他們稀缺的資源來(lái)處理那些能給企業(yè)帶來(lái)最大破壞性損失影響的風(fēng)險(xiǎn)。

這些考慮意味著風(fēng)險(xiǎn)量化提供了一個(gè)比事件響應(yīng)計(jì)劃等更全面的持續(xù)安全問題的觀點(diǎn)。事件響應(yīng)計(jì)劃并不是網(wǎng)絡(luò)危機(jī)管理計(jì)劃。雖然事件響應(yīng)計(jì)劃有幫助，但你的組織需要更多的幫助來(lái)應(yīng)對(duì)不斷變化的安全威脅。

您的組織可能缺乏內(nèi)部資源或人員來(lái)為您的特定需求定制風(fēng)險(xiǎn)量化。在這種情況下，可以通過(guò)第三方安全專家提供安全服務(wù)。譬如對(duì)潛在破壞性業(yè)務(wù)風(fēng)險(xiǎn)進(jìn)行評(píng)估，并以財(cái)務(wù)術(shù)語(yǔ)量化您所面臨的安全風(fēng)險(xiǎn)情景的潛在業(yè)務(wù)影響;就如何通過(guò)優(yōu)先戰(zhàn)略和路線圖減少這些業(yè)務(wù)風(fēng)險(xiǎn)提出建議

協(xié)助管理這些風(fēng)險(xiǎn)，主動(dòng)洞察并報(bào)告評(píng)估風(fēng)險(xiǎn)的持續(xù)狀態(tài)等。