如何计算数据泄露的成本

现在,几乎所有类型的组织每天都在发生企业 IT 网络遭到破坏的情况。它们是任何合规官员最担心的问题,并且找出更好的方法来防止它们或从中恢复是合规官员永远不会远离的想法。

但数据泄露的实际成本是多少?该数字从何而来?当您获得该信息时,合规官员应该如何处理该信息?

根据IBM 的 2023 年数据泄露成本报告,我们可以很容易地为“平均”数据泄露计算出 445 万美元的成本。这比 2022 年的成本增加了 2.3%,比十年前增加了 27%,当时平均违规成本为 350 万美元。

然而,了解这些平均数字对于合规官员和风险经理来说并没有多大帮助。您需要知道如何计算您自己组织的潜在成本。只有这样,当您充分了解违规行为可能如何影响您的业务时,您才能制定明智的、基于风险的合规措施来降低这些成本。

估算数据泄露成本的艺术

计算数据泄露的成本(无论是已经发生的实际泄露还是可能发生的潜在泄露)是合规部门的一项关键能力。 

例如,您可能需要向投资者、监管机构或业务合作伙伴披露确切的成本(请记住,美国证券交易委员会 (SEC) 刚刚通过了新规则,要求上市公司披露有关网络安全事件的更多信息,包括成本) 。了解违规成本还可以帮助您的合规官和其他高级管理人员就网络安全投资(例如新技术或新政策和程序)做出更好的决策。 

尽管如此,计算违规成本还是很复杂的。总数可以分为几个部分:

1、直接财务成本

这些是您的公司需要支付的明确、直接的成本。您会知道它们是什么,因为最终您的企业将为它们付费。它们包括以下费用:

  • 通知受影响的个人并向他们提供信用监控服务 
  • 政府监管机构可能施加的监管罚款 
  • 聘请专家的调查和补救成本,以准确找出问题所在,然后支付升级软件等修复费用
  • 如果您有引起媒体关注的特别公开的违规行为,则需要支付公共关系成本

2、间接成本

这些是明显存在的费用或收入损失,会损害您的业务。但是,您无法仅通过查看发票上的数字来确定其成本。例如,您可能会遇到系统停机,导致员工无法完成工作或失去客户,而您将永远无法收到这些客户的收入。 

估算间接成本的最佳方法是与销售、人力资源或企业中的其他部门密切合作,对这些职能正常运营所产生的收入或成本进行建模。 

例如,您可以与人力资源团队合作计算某些员工类别(工厂工人、研究人员、营销人员、销售主管等)的平均成本,以估算这些员工在勒索软件攻击期间无所事事的每小时成本。您可以与销售团队合作,估计停机期间可能损失的平均每天销售额,或者如果某些高价值客户永远离开,公司未来将损失多少收入。

3、运营成本

您还将面临运营成本,例如通过 IT 取证来确定违规行为是如何发生的;事件响应工作,可能包括通知外部各方或激活备份数据中心;IT 恢复措施,例如安装新软件或备份软件。 

运营成本可能是直接成本和间接成本的混合体,具体取决于您是聘请外部团队来完成工作,还是让内部员工脱离日常职责来帮助解决违规问题。

4. 声誉成本

声誉成本是难以计算的费用,是由于公司在违规后声誉受损而产生的。例如,您可能面临更高的客户获取成本,因为持怀疑态度的销售前景需要更多证据来证明您已经改善了网络安全制度。您可能会遇到更高的客户流失率或更低的成功销售率。在最糟糕的情况下,关键业务合作伙伴可能会切断与您的组织的联系,您将不得不寻找替代者。

5. 长期成本

其中包括更高的保险费、更高的审计费、合规监察员、更大的网络安全投资以及可能持续多年的其他费用。同样,其中一些成本将是明确的,而另一些成本则隐藏在“自然”成本中,例如现在要求更多证据或测试的年度审计。

要计算数据泄露的成本,您需要对上面列出的每个元素进行彻底分析。通常,这意味着 CISO 需要与组织的财务、法律、会计、销售和人力资源团队以及可能的其他业务职能部门密切合作。 

一个明智的策略是在违规发生之前制定一个流程来估算违规成本。您甚至可以进行桌面练习来演练模拟漏洞,以确定企业的哪些部分将参与清理损害。在此基础上,起草一个流程,定义谁将参与响应“典型”违规行为,包括会计代码或其他用于跟踪实际支出金额的设备。这样,当不可避免的事情最终发生时,你就会做好更好的准备。

现在您已经评估了数据泄露的成本。你用这些做什么?

假设您开发了这些关系和流程,以便可以估算数据泄露的成本。CISO 可以利用这些信息做什么?为什么了解数据泄露的成本如此重要,以至于值得您花费时间和精力来开发一个流程来做到这一点? 

事实上,了解数据泄露的成本对于 CISO 来说非常有用;它可以帮助您以各种方式制定
更好的网络安全策略。例如:

1. 更好的监管合规性

在美国,上市公司现
在必须在公司遭受“重大网络安全事件”时通知投资者,而在不知道成本的情况下,你无法确定事件的重要性。此外,当您确实需要向投资者披露违规行为时,您还需要披露成本估算。

2. 更好的风险评估和缓解

当您知道某些网络事件可能比其他事件更昂贵(例如,关闭客户履行中心的勒索软件攻击,而不是客户数据被盗)时,您可以优先考虑针对那些更昂贵的威胁的保护。通过关注构成最高财务威胁的领域,您的合规计划可以更有效地分配资源以减轻这些风险。

3.更好的第三方风险管理

如今,大量数据泄露都是通过第三方供应商或您拥有的其他业务合作伙伴发生的。更好地了解违规的潜在成本可以让您更有力地要求供应商提供更好的网络安全
,或者更有理由实施严格的尽职调查和合同要求。

4.更好的数据治理

当您了解与数据泄露相关的成本时,您可以向企业其他部门强调稳健的数据治理实践的重要性,例如数据分类、加密、访问控制和数据保留策略。
如果企业的其他部分对您的数据治理工作犹豫不决,您可以指出泄露成本并询问:“我们应该从您的预算中支付此费用吗?”

5. 更好的保险范围


网络泄露保险是每个网络安全计划的重要组成部分,但此类保险并不便宜。当您清楚地了解违规造成的潜在财务损失时,您可以更好地确定您需要多少保险,或者采取哪些措施来减少违规造成的损失,从而降低这些保险需求。

装备自己做出更好的业务决策

评估数据泄露成本的能力对于合规官员来说至关重要,因为这种知识是推动更好的网络安全功能的强大工具。了解违规成本可以帮助您更有效地分配资源,更熟练地满足监管要求,更灵活地管理供应商和员工(或者在必要时更有力),并更准确地设置优先级。 

简而言之,了解漏洞的成本可以使网络安全计划中的其他所有内容更加明显。这可以帮助您做出更好的决定。 

坏消息是评估违规成本并不容易。您需要跟踪或估计大量单独成本,并非所有成本都是显而易见的。因此,现在就花时间开发一个可靠的、经过测试的流程来估算违规成本,您可以在需求最终出现时激活该流程,因为这种情况迟早会出现。 

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/news/186950.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

考试复习

选择20道 填空10道 判断10道 简答4-5道 编程题2道 一、选择题 1.js中更改一个input框的值&#xff1a; <input ida type"text" value"123456"> 通过a.value改变他的值 方法&#xff1a; 在script标签中通过id获得该输入框对象&#xff0c;然…

Flutter应用程序的加固原理

在移动应用开发中&#xff0c;Flutter已经成为一种非常流行的技术选项&#xff0c;可以同时在Android和iOS平台上构建高性能、高质量的移动应用程序。但是&#xff0c;由于其跨平台特性&#xff0c;Flutter应用程序也面临着一些安全风险&#xff0c;例如反编译、代码泄露、数据…

numpy知识库:深入理解numpy.resize函数和数组的resize方法

前言 numpy中的resize函数顾名思义&#xff0c;可以用于调整数组的大小。但具体如何调整&#xff1f;数组形状变了&#xff0c;意味着数组中的元素个数发生了变化(增加或减少)&#xff0c;如何确定resize后的新数组中每个元素的数值呢&#xff1f;本次博文就来探讨并试图回答这…

electron调用dll问题总汇

通过一天的调试安装&#xff0c;electron调用dll成功&#xff0c;先列出当前的环境&#xff1a;node版本: 18.12.0&#xff0c;32位的&#xff08;因为dll为32位的&#xff09; VS2019 python node-gyp 1、首先要查看报错原因&#xff0c;通常在某一行会有提示&#xff0c;常…

elk+filebeat+kafka集群部署

EFK实验架构图&#xff1a; 实现高并发&#xff0c;无需指定logstash 3台esfile&#xff0c;3台kafka 20.0.0.10 esfile 20.0.0.20 esfile 20.0.0.30 esfile 20.0.0.11 kafka 20.0.0.12 kafka 20.0.0.13 kafka在es1主机上解压filebeat cd filebeat 安装nginx服务 vim /usr/loc…

无人机助力电力设备螺母缺销智能检测识别,python基于YOLOv7开发构建电力设备螺母缺销高分辨率图像小目标检测系统

传统作业场景下电力设备的运维和维护都是人工来完成的&#xff0c;随着现代技术科技手段的不断发展&#xff0c;基于无人机航拍飞行的自动智能化电力设备问题检测成为了一种可行的手段&#xff0c;本文的核心内容就是基于YOLOv7来开发构建电力设备螺母缺销检测识别系统&#xf…

软件设计师——计算机网络(一)

&#x1f4d1;前言 本文主要是【计算机网络】——软件设计师计算机网络的题目&#xff0c;如果有什么需要改进的地方还请大佬指出⛺️ &#x1f3ac;作者简介&#xff1a;大家好&#xff0c;我是听风与他&#x1f947; ☁️博客首页&#xff1a;CSDN主页听风与他 &#x1f304…

Arduino、ESP8266、HTML相关知识点记录

C代码 const char *ssid "********"; // 这里定义将要建立的WiFi名称。 const char *password "********"; // 这里定义将要建立的WiFi密码。 多WiFi连接&#xff1a; wifiMulti.addAP("**…

mockito加junit gd 单元测试 笔记

目录 一、简介1.1 单元测试的特点1.2 mock类框架使用场景1.3 常用mock类框架1.3.1 mockito1.3.2 easymock1.3.3 powermock1.3.4 JMockit 二、mockito的单独使用2.1 mock对象与spy对象2.2 初始化mock/spy对象的方式2.3 参数匹配2.4 方法插桩2.5 InjectMocks注解的使用断言工具 三…

SQL 金额数值转换成中文大写

需求&#xff1a;将金额转换成中文大写格式填入单据合计行&#xff1a; _佰_拾_万_仟_佰_拾_元_角_分 1234567.89 壹佰贰拾叁万肆仟伍佰陆拾柒元捌角玖分 1.函数转换 drop function n2C;CREATE FUNCTION n2C (num numeric(14,2)) RETURNS VARCHAR(20) AS BEGIN …

智跃人力资源管理系统 SQL注入漏洞复现

0x01 产品简介 智跃人力资源管理系统是基于B/S网页端广域网平台&#xff0c;一套考勤系统即可对全国各地多个分公司进行统一管控&#xff0c;成本更低。信息共享更快。跨平台&#xff0c;跨电子设备 0x02 漏洞概述 智跃人力资源管理系统GenerateEntityFromTable.aspx接口处存在…

SQL Sever 基础知识 - 数据查询

SQL Sever 基础知识 - 一、查询数据 一、查询数据第1节 基本 SQL Server 语句SELECT第2节 SELECT语句示例2.1 SELECT - 检索表示例的某些列2.2 SELECT - 检索表的所有列2.3 SELECT - 对结果集进行筛选2.4 SELECT - 对结果集进行排序2.5 SELECT - 对结果集进行分组2.5 SELECT - …

正则表达式及文本三剑客grep sed awk

正则表达式 1.元字符 . //匹配任意单个字符&#xff0c;可以是个汉字 [yang] //匹配范围内的任意单个字符 [^y] //匹配处理指定范围外的任意单个字符 [:alnum:] //字母和数字 [:alpha:] //代表…

uc_12_进程间通信IPC_有名管道_无名管道

1 内存壁垒 进程间天然存在内存壁垒&#xff0c;无法通过交换虚拟地址直接进行数据交换&#xff1a; 每个进程的用户空间都是0~3G-1&#xff08;32位系统&#xff09;&#xff0c;但它们所对应的物理内存却是各自独立的。系统为每个进程的用户空间维护一张专属于该进程的内存映…

ZPLPrinter Emulator SDK for .NET 6.0.23.1123​ Crack

ZPLPrinter Emulator SDK for .NET 适用于 .NET 的 ZPLPrinter 仿真器 SDK 允许您通过编写 C# 或VB.NET 代码针对任何 .NET Framework、.NET CORE、旧版 ASP.NET MVC 和 CORE、Xamarin、Mono 和通用 Windows 平台 (UWP) 作业。 适用于 .NET 的 ZPLPrinter 仿真器 SDK 允许您将…

第一百八十五回 如何禁止页面跟随手机自动旋转

文章目录 1. 概念介绍2. 使用方法2.1 全面禁止2.2 局部禁止3. 示例代码4. 内容总结我们在上一章回中介绍了"如何自定义Radio组件"相关的内容,本章回中将介绍 如何禁止页面随手机自动旋转.闲话休提,让我们一起Talk Flutter吧。 1. 概念介绍 在手机默认设置下,手机…

数据爬虫(JSON格式)数据地图可视化(pyecharts)【步骤清晰,一看就懂】

一、前言 数据存储在网页上&#xff0c;需要爬取数据下来&#xff0c;数据存储格式是JSON&#xff0c;数据可视化在工作中也变得日益重要&#xff0c;接下来将数据爬虫与数据可视化结合起来&#xff0c;做个案例 注&#xff1a;当时数据是22年1月29日爬取数据 二、使用步骤 …

直播前期准备

直播前的准备是一个综合性的过程&#xff0c;需要从多个方面进行考虑和准备。以下是一些直播前准备的参考∶ 1.确定直播主题和目标∶明确直播的主题和目标&#xff0c;以及如何吸引观众。考虑观众的兴趣和需求&#xff0c;选择一个熟悉且具有吸引力的主题&#xff0c;以提升直…

js事件流与事件委托/事件代理

1 事件流 事件流分为两步&#xff0c;一是捕获&#xff0c;二是冒泡 1.1 捕获概念 捕获就是从最高层一层一层往下找到最内部的节点 1.2 冒泡概念 捕获到最小节点后&#xff0c;一层一层往上返回&#xff0c;像是气泡从最底部往上冒一样&#xff0c;由于水深不同压强不同&…

C题目12:请写一个函数,判断一个数是否为质数,并在main函数中调用

一.每日小语 人的一切痛苦&#xff0c;本质上都是对自己的无能的愤怒。——王小波 自己思考 判断一个函数是否为质数&#xff0c;这个我在之前练过&#xff0c;我想至少两次&#xff0c;而这一次则是问我如何在main函数中调用&#xff0c;这个概念我不理解&#xff0c;所以我…