关注即时违约修复成本的公司可能忽略大局,并可能因此对安全投资不足
最近数项研究试图处理数据破解总成本问题,费用大相径庭-从平均不到100万美元到600万美元-基于数据集和费用类型
可实际数数倍高
取雅虎破解举例说,这可能导致公司价值下降10亿美元
上月雅虎披露2014年5亿个账号黑客,Verizon报称请求10亿美元打折.
发言人John Gunn表示:「这第一手显示大规模破解可能造成的重大价值破坏”。VASCO数据安全.
macel Lipinski说,CISO和首席安全策略安全密钥
单对雅虎的诉讼可能量大可能雅虎值下降甚至超过今日报告的10亿美元数高额金融风险笼罩雅虎和缺少另一个求婚者竞技出价,
Michael Lipinski,CISO和首席安全策略安全密钥
公司通常低估破解总成本最近一份报告显示德洛伊特咨询网络风险服务
深入分析两种假设时,研究者发现75%至95%的违章总成本为非立即可见的“隐藏式”成本
Edloitte网络风险咨询服务总经理John Gelinne表示,Deloitte触法.
公司在不同威胁环境操作并非一刀切
Deloitte表示,典型的“高于表面”破损相关费用包括以下项目:损耗后消费者保护、网络安全改善、客户违约通知、法律成本和罚款、公共关系和法证调查
但这些仅仅是即时可见代价整体影响包括收入损失和客户关系损失、品牌贬值、增债成本提高、高保费提高、运营中断和知识产权损失等项
在分析的两种假想中,失信总成本从5 900万到16.79亿美元,从2 600万到32.58亿美元,而这些其他因素在事件后五年内立即得到考虑。
Gelinne表示:「我们认为,如果你能描述基于公司具体、似然假想的影响, 并可以更精确地模拟你的影响,
表示民间社会组织需要学习大局并协同企业团队评价网络安全事件的全部潜在影响,以便更好地了解哪些资产最需要保护
预算永远不够大, 目标在于避免所有可能的意外事件,建模技术增加资讯 改善投资决策
成本估计为何变化
最近三项研究显示破解费用为170 000美元、861 000美元和400万美元范围已经很广,但远低于德洛伊特建议
为何悬殊
研究通常侧重于数据破损问题,如账号证书、信用卡号以及保健信息等
Gelinne表示, 研究大都与公开报道有关窃取个人识别信息 个人健康信息还有其他类型假设 可能不考虑计算中
研究在选择大小事件时各有不同,具体成本和计算方式也各有不同
上月Kaspersky估计安全事件企业平均成本861 000美元,
此外,Kaspersky报告专注故障回收成本,人事相关成本占总成本的53%,改善软件和基础设施则占14%
Canavan副总裁Kaspersky北美实验室Kaspersky实验室ZAO
估计还包括信用等级损害成本、高保费和商业损失,但不包括通知和法律费用等其他常见违约相关费用,或德洛伊特或其他研究人员考虑的其他间接费用。
另一种差异是典型破损成本应该是所有事件平均值还是中位值
中值破解成本170 000美元-但平均成本590万美元表示a报表发布本周一.
中位数比较有用 研究作者Sasha Romanosky兰德公司
平均成本向上倾斜,他说,由于少数异常大破解,如目标
现实是多数破解并非如此之大中值反射总成本
他说,在他的研究中,品牌价值损失的名声成本不包括在总数中。如何测量品牌损耗
另一份近期破损成本报告Ponemon学院和IBM今年夏天制作,显示损耗平均成本为400万美元,比去年379万美元有所增加。
平均成本比Rand研究略低一点,因为特大目标被刻意从样本中排除,Larry Poonemon说, 主席兼创建者onemon学院.
并没有足够的模型来建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建建
Ponemon考虑数据破解的直接和间接成本直接成本包括聘用法证专家和受害人身份保护服务间接成本包括雇员花时间解决违约问题,但也包括商誉损失和客户批发
Ponemon不考虑德洛伊特公司所有间接成本, 并专注丢失数据记录,
为何数字重要
违反成本估计影响公司计算成本效益,看安全预算
Rand's Romanosky表示,
公司在考虑违约总影响时,需要更多关注即时补救成本和技术成本,并应有全组织参与者参与分析风险
Julien Bellanger合创公司洛杉矶CEO前缀.Verizon似乎理解并计算雅虎黑客的长期成本,
故事Yahoo显示破解作用远超修复费用CSO系统 .