Her kan du se, hvordan du kan beregne afkastet af investeringen (ROI) ved at uddanne dit personale i en kampagne om sikkerhedsbevidsthed.
En undersøgelse fra ministeriet for kultur, medier og sport (DCMS) viste, at 39 % af de britiske virksomheder blev udsat for et cyberangreb i 2022. Omkostningerne ved disse brud er ikke ubetydelige. DCMS-rapporten beregnede, at de økonomiske konsekvenser af et enkelt cyberangreb kostede en mellemstor virksomhed 19 400 pund. Når man tænker på, at organisationer dagligt er truet af cyberangreb, er dette en grund til bekymring.
Træning i sikkerhedsbevidsthed er en af de foranstaltninger, der kan reducere sandsynligheden for, at et angreb finder sted eller udvikler sig. Det betyder færre omkostninger i forbindelse med et angreb. Men er risikoen for et angreb prisen værd for at gennemføre Security Awareness Training?
Elementer, der skal medtages ved beregning af ROI af en kampagne for sikkerhedsoplysning
Før man går i gang med at beregne, om "er sikkerhedsuddannelse det værd", er det nødvendigt at foretage en opgørelse over de medtagne elementer. Et cybersikkerhedsangreb og/eller databrud har mange bevægelige dele, som hver især har materielle og immaterielle omkostninger.
Her er et kig på nogle af de mest sandsynlige omkostninger ved et cyberangreb:
Det direkte økonomiske tab som følge af et cyberangreb
De direkte konsekvenser af et cyberangreb afhænger både af typen af cyberangreb og af organisationen. Et ransomware-angreb kan f.eks. indebære betaling af løsepenge (selv om betaling ikke er en anbefalet strategi). Det er dog værd at bemærke, at beløbene for løsepenge er steget i de seneste år.
En rapport fra Nordlocker viste en stigning på 78 % i den gennemsnitlige betaling for ransomware, hvilket bringer løsesummen op på svimlende 541.010 USD (478.000 £).
Omkostningerne ved et cyberangreb kan også omfatte skader på it-systemer, den tid, der bruges på at afhjælpe angrebet, og gruppesøgsmål: I Storbritannien er antallet af gruppesøgsmål efter et cyberangreb steget med 120 % mellem 2018 og 2020.
De gennemsnitlige omkostninger ved et cyberangreb bør indgå i beregningen af ROI af en kampagne for sikkerhedsoplysning. Dette bør dog også afspejle det gennemsnitlige antal angreb om året. Ifølge DCMS-rapporten vurderer 31 % af virksomhederne og 26 % af de velgørende organisationer, at de blev angrebet mindst en gang om ugen.
Tid og arbejde til at inddæmme et brud
En af konsekvenserne af et cyberangreb er, at det er vanskeligt at finde udnyttelseskæden og begrænse skaden. En IBM-rapport om omkostningerne ved databrud viste, at den gennemsnitlige tid til at inddæmme et brud i 2022 var 277 dage. I løbet af denne tid løber omkostningerne op.
Du bør medregne nedetid i IT-systemet, IT-support og anslået tab af produktivitet i din beregning af ROI af en kampagne for sikkerhedsbevidsthed.
Skade på omdømme
Reputationsskader er uhåndgribelige og derfor vanskelige at kvantificere. Der er dog mange faktorer, der spiller ind efter et cyberangreb, som resulterer i et negativt omdømme. Disse omfatter et generelt tab af tillid, der påvirker kunderne, aktiekursen og partnerøkosystemet.
Dette tab af tillid er akut, når kunderne forlader en virksomhed efter et brud. En undersøgelse fra YouGov og Okta viste, at 88 % af kunderne vil holde op med at bruge en virksomhed, hvis de føler, at man ikke kan stole på, at den beskytter deres data.
Det er svært at kvantificere og derfor tilføje til en ligning, men du har måske nogle data om tab af kunder som følge af business intelligence-løsninger (BI).
Manglende overholdelse og bøder
Adskillige databeskyttelsesregler, herunder PCI-DSS og GDPR, kræver eller opfordrer kraftigt til brug af sikkerhedsbevidsthedsuddannelse. Hvis du kan påvise, at din organisation anvender sikkerhedsoplysning, bør eventuelle efterfølgende håndhævelsesforanstaltninger derfor tage hensyn hertil.
Når du beregner ROI af en kampagne for sikkerhedsoplysning, skal du dog medregne de typiske omkostninger ved en bøde for manglende overholdelse af reglerne i din sektor.
Du kan finde ud af, hvor store bøder din virksomhed kan blive pålagt efter et brud, ved at henvende dig til Information Commissioner's Office (ICO). For eksempel fastsætter den britiske GDPR og DPA 2018 den maksimale bøde på 17,5 millioner pund eller 4 % af den årlige globale omsætning.
Forsikringspræmier
Ifølge en undersøgelse foretaget af forsikringsselskabet Hiscox planlægger 63 % af de britiske virksomheder at købe cyberforsikring som en del af deres strategi. Desuden kan præmierne sænkes, hvis du reducerer risikoen ved at uddanne dine medarbejdere i sikkerhedsbevidsthed.
Læg udgifterne til cyberforsikring til din ROI af en kampagne for sikkerhedsoplysning som en del af dine samlede omkostninger til sikkerhedsstrategien.
Andre ROI-omkostninger omfatter:
- Prisen for uddannelsespakken og eventuelle ekstra funktioner, f.eks. træning i phishing-simulering.
- Administrationsomkostninger i forbindelse med programmets gennemførelse.
- Tabt tid på grund af en medarbejder, der udfører øvelser i forbindelse med træning i sikkerhedsoplysning.
Sådan beregner du ROI af cybersikkerhedsuddannelse
Når du har dataene, kan du sætte dem ind i en ROI-ligning. Heldigvis er der allerede nogen, der har undersøgt, hvordan man kan generere en ligning for Security Awareness Training.
En ROI-ligning ser i sin enkleste form således ud:
ROI = Beregning af ROI for Security Awareness-kampagner
Hvor:
R = Afkast (fordel)
I = investering (omkostninger)
Som du har set, er det imidlertid mere kompliceret at beregne R og I for sikkerhed, da der er immaterielle omkostninger som f.eks. skade på omdømme.
Heldigvis har folk i sikkerhedsbranchen set på kompleksiteten i at beregne ROI for investeringer i sikkerhedsuddannelse. Michael Coden bruger f.eks. forskning fra Massachusetts Institute of Technology (MIT).
En undersøgelse fra MIT baserer beregningen af omkostningerne ved cybersikkerhedshændelser på de trin, der fører til en cybersikkerhedshændelse. Denne forskning er blevet brugt til at udvikle en ramme, der er kendt som STACHT. Ved hjælp af denne ramme har Coden udviklet en ligning for ROI af cybersikkerhedsprojekter (f.eks. uddannelseskampagner for sikkerhedsbevidsthed), der omfatter:
Hvor:
Sandsynligheden for en kompromittering (PC) = trusler ganget med sårbarheder
Konsekvens af en kompromittering (IC) = aktiv multipliceret med tab, hvis en kompromittering finder sted
Codens ligning anvendes pr. projekt og angiver den sandsynlige ROI baseret på skøn.
Et mere kvalitativt billede af ROI af kampagner for sikkerhedsoplysning
Vær opmærksom på, at beregning af ROI ved at gennemføre træning i sikkerhedsbevidsthed ikke nødvendigvis er et spørgsmål om at sætte data ind i en ligning. I stedet kan det være nok at opstille en liste over potentielle omkostninger og konsekvenser af et cyberangreb for at vise, at Security Awareness Training er det værd.
Mennesker er fortsat i fokus for cyberkriminelle; hvis der er en måde at bryde denne cyklus på, vil det naturligvis føre til mindre risiko og færre omkostninger.
I en Osterman-rapport beskrives uddannelse i cybersikkerhed som "afgørende" for at forebygge cyberangreb. Rapporten fremhæver effektiviteten af sikkerhedstræning, idet data f.eks. viser, at kun 11 % af medarbejderne kunne opdage en phishing-e-mail før træningen, men at 64 % af medarbejderne efter træningen var i stand til at opdage phishing-forsøg. Bevismateriale som dette kan være yderst effektivt, når man skal regne ud, hvor stor en fordel det vil være at gennemføre en kampagne for sikkerhedsbevidsthed.
