坏人变得更聪明。他们是否是恐怖主义者,他们意识到另一种伤害世界的方法,提前推进他们的议程是使发达国家的经济稳定,特别是美国,不满的内部人或“普通”犯罪分子,具有主要的利润动机,网络犯罪正在增加并且变得更昂贵。在信息技术安全圈中,大约2010年7月有一些嗡嗡声网络犯罪基准研究的成本由Ponemon Institute进行的美国公司的代表性抽样。该组织对隐私,数据保护和信息安全策略进行独立研究。
研究所似乎试图与他们的代表学习作出的观点是企业风险管理(ERM)特别是因为它涉及它,需要加速;公司再次获得LAX,并仍然重新假设“它”(即:坏事)不会发生在他们身上。23页Ponemon学院报告可在线提供网站但是,这是一个高级,七分摘要,我的输入如何与贵公司的情况有关。
也可以看看:报告:CISOS将泄露成本降低
网络犯罪的代价远高于事前采取措施强化环境
该研究报告称,受影响的公司的响应成本的平均值为每年380万美元。可以有效减轻或阻止相同事件的技术和过程的成本通常小于1/3的成本。换句话说,并且相当明显 - 预先计划和缓解是在大多数情况下更便宜的很多,而不是在事故/违规之后的临时反应的反应。
更重要的是,任命一名最高主管来负责企业风险管理首席安全官,或者更好的是,a首席风险官员是成功的关键因素。往往直接向董事会自主报告,并具有真正的企业范围的观点,而不仅仅是以技术为中心的,这位高管可以妥善确保在项目和计划开始时“烘焙”风险管理,而不是“螺栓固定”“随意地作为事后的经文。此外,仅仅将IT安全性和风险管理降至一些其他线条部门的一整个“楼层”,这是一个巨大麻烦的快速食谱。
此外,ERM战略的创建和推出并遵守自愿治理/认证框架(例如ITIL./NIST等等)似乎两者都显着减少了发生的机会和与网络犯罪事件交易的总成本。
网络犯罪侵入性普遍,屡见不鲜
你为什么问?许多公司似乎有一个骑士或自满的态度,至少非正式地,类似的东西,“我们的安全已经足够好了;”“我们已经比竞争更好;”“这些要求与我们不关置”等。这些态度的硬化在几个历史上是死者!
你的公司怎么样?另外,要知道符合(无论标准或规则是什么)并不一定意味着安全!IT风险管理(信息安全,BC / DR,合规,治理),像ERM一样,是一个持续改进的计划,而不仅仅是一个“一次完成就忘记”的项目。此外,社交网络也带来了喜忧参半的好处,它是潜在商业增长和邪恶行为的最新途径。一些分析师估计,30%的企业带宽被社交网络流量。
一些支持者认为社交网络如Twitter和LinkedIn作为业务外联的代理商。某些IT供应商支持现在由社交媒体网站提供。此外,公共关系和营销团队在社交网络中寻找价值,以提供促销活动。YouTube正在成为公司公共关系努力的更加主流平台。
然而,尽管如此,但是,社交媒体也可能为病毒和恶意软件,生产力分心和员工提供的网关,而员工可能最终讨论敏感或专有信息而不适当的授权。此外,竞争和债务收藏家现在也使用这些来源来检查公司的员工。
代价最高的网络犯罪是由网络攻击和恶意内部人士造成的
您的公司使用或主持有多少公共网络网站?你对云的界面怎么样?是否通过严重的渗透测试或OWASP编码合规检查了这些网站?通常接受更好的实践状态,我们应该在季度OWASP扫描和两季度渗透测试进行。您的更改管理过程有多强大?另外,你考虑过 - Quis Custodiet IPSOS监禁吗?它是拉丁语,“谁会守卫警卫。”是否会内部审计和日志记录特权访问帐户?减轻这种潜在漏洞需要在企业级威胁和风险管理策略中实施暹粒,DLP,HIPS(等)等技术。
暂停,快速分辨率是降低成本的关键
根据该基准研究样本,如果没有快速解决,网络攻击可能会变得更昂贵。该报告显示,分解网络攻击的平均天数为14天,平均成本为每天17,696美元!这类美元损失如何影响您公司的底线?
调查显示,恶意的内部攻击可能需要42天或更长的时间才能解决。这些代价表明,对于当今复杂的攻击,需要快速解决。这项研究没有涵盖,但你确实需要考虑名誉损害的过高成本(也就是标题风险)。例如,除了法院和金融制裁之外,如果你的组织违反了像加州、马萨诸塞州或欧盟那样的强化PII保护法律,它的品牌会发生什么?
由于盗窃导致的信息丢失代表了最高的外部成本,其次是与业务运营中断相关的成本
报告称,在年度化的基础上,信息盗窃占外部成本总额的42%。与业务中断或损失生产力相关的成本占外部成本的22%。它还随后,公司增长的较大程度,他们的潜在曝光也越大。与这些成本相切,是负面媒体的“第二灾害”的费用和声誉损坏,并失去了客户/股东信心。这是一个坚实,预先预先危机的危机沟通计划可以帮助拯救当天。
从事故/违规行为检测和恢复是最昂贵的内部活动。这也意味着由于这些更高的成本,这些投资可能是最忽视的地区。这是一个快速的现实检查。如果没有/非常小的致力资金(不仅仅是预算类别借口)和毫无/小的顶级行政时间致力于风险管理,那么你所拥有的只是另一个唇部服务计划。祝你好运,当事情击中粉丝!开始听到另一个公司用来用来裙子的要求,以接受他们适当的责任。ERM和/或INFOSEC的一些公司是“预算”,但实际上从未犯过钱。或者交替,公司声称他们正在继续研究新技术,而不是几周或几个月 - 但多年来!一些监管机构和保险公司正在发出通知,甚至根据保险人的缴费疏忽追究欺诈费用或否认索赔。
所有行业垂直都易于网络犯罪
本报告表明,网络犯罪的平均年化成本似乎因产业部门而异,其中国防,能源和金融服务公司比零售,服务和教育中的组织更高的成本。尽管如此,所有垂直都受到不利影响和增加频率。
在过去的5年里,越来越多的商业灾难声明并不是天灾造成的。相反,它们是企业有意接受(或不被动)风险的结果,这些风险显然是它们不应该接受的。保险公司注意到了这一点。他们越来越多地在签发保单和支付索赔之前,寻求进一步的证据来证明其应有的谨慎和尽职调查。政府也注意到了!
有一些积极的讨论,即联邦政府可能很快进一步重视私营部门的风险管理,特别是与它涉及它。这里的前提是,它现在被广泛被认为是现代互联经济的关键基础设施的一部分,非政府实体自愿遵守普遍接受的风险管理措施是悲观的不足。积极讨论作为所有业务(某种规模/收入卷)的最低标准的最低标准是更严格的安全框架,如PCI-DSS。
因此,下一次您的公司进行预算考虑时,也许您至少应该鼓励您的IT部门考虑划拨一些额外的资金——至少,进行全面的企业范围的安全评估。只需花费相对较少的费用,就可以培训现有人员,甚至认证他们如何进行彻底的评估。然而,有一个警告。通常情况下,现有的内部员工都有点厌倦了,而且不如公正独立的第三方客观。
理想情况下,公司应定期进行内部评估,以便收集和分析组织内的结果。然后,下一步是保留合格的外部实体,以便对类似范围进行另一次评估,以确保准确的图片。外部实体还可以提供关于风险管理和IT安全投资的优先级的独立专业知识。这样,您的组织将更加准确地了解您以及您需要如何投资,以确保您的公司不仅要使错误的风险造成错误的类型的头条新闻和/或潜在地增加国家的漏洞。
乔恩·墨菲是一位全国知名的技术、国土安全、风险管理专业人士、作家和演说家
这个故事,“7个网络犯罪事实高管需要了解”最初是发表的方案 。