這一篇在2023年12月29日刊載於Tripwire的"Getting the Board on Board: Explaining Cybersecurity ROI"。讓我們能進一步瞭解,資安主管如何強化自己對董事會的溝通。以下分享一些要點。
儘管資料外洩、勒索軟體攻擊與網路威脅日增,但要董事會投資網路安全,在很多企業不見得容易。挑戰主要來自於如何展現網路安全措施的投資報酬率(ROI)。許多董事會在意的是績效指標、獲利與策略資源分配,而網路安全主要歸於減少風險。
因此重要的是:架起溝通落差的橋樑,確保董事會瞭解並知悉網路安全的重要性及價值。
為有效溝通網路安全措施的ROI及重要性,需要用董事會的語言交談才行。這個語言要環繞在企業成長、風險管理及策略投資。
網路安全常被視為成本中心,而非投資,但這種看法很容易造成誤導。故無效的網路略可引發隱藏的成本—規模遠超過健全安全措施的初期成本。以下是作者提出一些隱性成本的例子:
1.資料外洩而來的財務損失
這是最明顯的成本。依外洩資訊的敏感性(不論是損益表或複雜的業務資料庫),公司可能遇到網路罪犯的昂貴的勒索需求、對受影響顧客的財務賠償以及監理罰款。
比如T-Mobile在2021年5300萬筆顧客資料的外洩事件,就造成3.5億美元的罰款及法律支出。此外,客戶信任與名譽的無形損失,還會對公司財務造成長期的影響。
2.傷害品牌名譽
涉及敏感資料的安全入侵,對公司會造成嚴重的後果、傷害公眾印象及影響顧客的信心與忠誠。雖然要量化此影響是一大挑戰,但像這類的是件,會對公司的經濟健全產生長期的影響。重建受損的名譽,是長期、耗費資源的過程,還會增加整體支出。
最近密碼管理公司LastPass,在安全漏洞上就面對到嚴重的挫折。此事件讓客戶電郵及密碼外洩。有鑑於業務性質,此外洩顯然會影響他們在可信度及安全上的名譽。
3.營運中斷
網路攻擊會造成營運中斷,造成停機與生產力喪失。這些中斷的成本,會快速擴大,尤其是那些高度仰賴數位營運的企業。
比如,提供線上商務的平台、或雲端應用程式的,要是客戶資料外洩,就會造成巨大的影響。因為這些服務通常是訂閱模式,而且有廣大的客戶資料,故任何營運中斷就會造成巨大的營收機會流失。
4.法律面的支出
公司可能會因為受到資料外洩影響的客戶或伙伴,而面對到法律訴訟。用來管理這些法律訴訟所需的金錢、時間與資源,可能會非常昂貴。
從資料外洩擴大到集體訴訟的案例,常可能會導致鉅額的法律和解金與罰款。這些成本就是網路攻擊後再增加的負擔,如果要為外洩事件負責的話,還會再傷害公司的名譽與地位。這些訴訟所引發的外界注意,也會破壞顧客的信心。
5.保費升高
在重大網路事件發生後,企業常會遇到保費升高。這是另一個會隨時間上升的成本。
相對於其他投資,網路安全典型上不會帶來直接的收入。相對地,它是保護盾,是保護營收及確保公司資產。比如,網路安全的ROI常會如此計算:安全措施發揮效用、抑制了潛在威脅而省下的成本。
以下是作者提出,用以評估網路安全的基本方法:
*辨認潛在的損失:辨識出當組織被網路攻擊鎖定時的損失。這包括直接損失(系統復原、法律支出)及間接損失(品牌受損、顧客信任流失)。
*估計網路攻擊的可能性:雖然精確預測很困難,但歷史資料及產業趨勢可對企業被網路攻擊鎖定的可能性,提供一些見解。
*計算可能省下的成本:將網路攻擊風險及可能性兩者相乘,以估計特定網路攻擊措施可能省下的成本。
*扣除網路安全措施的成本:最後,從估計節省的金額中,扣除網路安全措施的成本,以便看到ROI。
資料來源:https://www.tripwire.com/state-of-security/getting-board-board-explaining-cybersecurity-roi
沒有留言:
張貼留言