遠程勞動力的這種突然且意想不到的變化對企業(yè)提出了挑戰(zhàn)，要求他們尋找新的協(xié)作和共享信息的方法。盡管應(yīng)用程序和程序可能有所不同，但它們都有一個共同點：云。

無論是否流行，現(xiàn)實情況是網(wǎng)絡(luò)安全風險并不會在全球健康危機發(fā)生后消失或減少。事實上，許多人認為事實恰恰相反。除此之外，突然轉(zhuǎn)向云托管解決方案可能會影響您的網(wǎng)絡(luò)風險暴露。使用 RiskLens 和信息風險因子分析 (FAIR) 模型，您可以確定該變化對您的利潤的影響程度。

要了解風險暴露的變化，您需要從相關(guān)場景中分析您面臨的風險，首先假設(shè)資產(chǎn)存儲在本地，然后假設(shè)它是云托管的。

有許多風險場景與這種情況相關(guān)。我建議選擇最有可能進行分析的 3-5 個，以獲得總損失風險的“全局”概念。如果您對所需的工作量猶豫不決，請不要擔心 - 通過使用RiskLens 平臺的分類功能，您可以在午餐時間分析您選擇的場景。

出于本練習的目的，我們將重點關(guān)注以下場景：

惡意外部行為者（威脅）對 XYZ 數(shù)據(jù)庫（資產(chǎn)）中包含的敏感信息進行機密性破壞（影響）會帶來多少風險？

第 1 步：現(xiàn)在的曝光度是多少？（本地）

為了了解當前與 XYZ 數(shù)據(jù)庫中的敏感信息泄露相關(guān)的損失風險，您需要了解兩件事：XYZ 數(shù)據(jù)庫中包含的敏感信息泄露發(fā)生的頻率（用公平術(shù)語來說，即  “損失事件 頻率”）以及每次發(fā)生的財務(wù)損失風險（損失幅度）。

(1) 丟失事件頻率

根據(jù)您擁有的信息，可以選擇進一步深入并評估丟失事件頻率的組成部分：外部惡意行為者嘗試破壞 XYZ 數(shù)據(jù)庫中的敏感信息的頻率（威脅事件頻率）以及嘗試成功的概率（漏洞）。

假設(shè)該事件以前沒有在組織中發(fā)生過，請考慮這是否是因為它根本沒有被嘗試過（考慮信息的價值、組織本身的可見性、數(shù)據(jù)庫的公眾知名度等），還是因為它由于控制/流程到位而未能成功？

(2) 損失幅度

損失幅度分為兩個主要部分；主要和次要損失由六種形式組成：反應(yīng)、替代、生產(chǎn)力、競爭優(yōu)勢、聲譽以及罰款和判決。對于每種情況，必須確定六種情況中哪一種適用。對于數(shù)據(jù)庫泄露，我期望得到以下結(jié)果：響應(yīng)（主要）、響應(yīng)（次要）、罰款和判決（次要）以及聲譽（次要）。了解有關(guān)捕獲損失幅度的更多信息。

上圖顯示了每年發(fā)生特定年度財務(wù)損失風險（年化損失風險）或更多風險的可能性。在此示例中，給定年份發(fā)生 1.072 億美元或更多損失的可能性約為 62%。

第 2 步：當采用云托管時，曝光度會如何？

要估計遷移到云托管解決方案后將面臨多少風險，您必須首先確定哪個主要組件將受到更改的影響：

• 嘗試事件的頻率（威脅事件頻率）
• 事件成功的頻率（漏洞）
• 如果發(fā)生的話會有多糟糕（損失幅度）

通常，這些領(lǐng)域中只有一個受到重大影響，但可能因組織而異。一旦確定了哪些組件受到影響，您就可以估計影響的程度。例如，您可能會確定，由于云提供商加強了外圍控制并提高了修補節(jié)奏，遷移到云將導致漏洞減少 20%。

 在云托管解決方案的未來狀態(tài)下，現(xiàn)在最有可能的年化損失風險為 0 美元。這意味著在大多數(shù)模擬年份（在本例中使用 RiskLens 平臺運行帶有標準迭代的蒙特卡羅模擬的 5,000 年）中，損失事件并未發(fā)生，這意味著損失風險為 0 美元。這通常是由于頻率低（每年少于一次）、漏洞低或兩者兼而有之的結(jié)果。在本例中，是兩者的結(jié)合推動了這一結(jié)果。

第三步：有什么區(qū)別？

了解在考慮本地（當前狀態(tài)）或云托管（未來狀態(tài)）解決方案時因 XYZ 數(shù)據(jù)庫中的敏感數(shù)據(jù)泄露而面臨的風險程度后，最后一步是評估投資回報率。

比較圖顯示，遷移到云托管解決方案后，平均年化損失風險減少了約 1.02 億美元。組織的下一步是確定遷移所需的財務(wù)投資金額（資本和 FTE），以計算投資回報 (ROI)。

關(guān)于云托管解決方案是否會帶來更多或更少風險的持續(xù)爭論并不是一個非黑即白的問題。下次您的組織考慮在云中遷移或建立新系統(tǒng)時，請確保全面的  定量風險評估成為決策的一部分