Tillbaka
Utbildning och programvara för cybersäkerhet för företag | MetaCompliance

Produkter

Upptäck vårt utbud av skräddarsydda lösningar för utbildning i säkerhetsmedvetenhet, utformade för att stärka och utbilda ditt team mot moderna cyberhot. Från policyhantering till phishing-simuleringar - vår plattform förser din personal med de kunskaper och färdigheter som behövs för att skydda din organisation.

Cyber security eLearning

Cyber Security eLearning för att utforska vårt prisbelönta eLearning-bibliotek, skräddarsytt för varje avdelning

Automatisering av säkerhetsmedvetenhet

Planera din årliga medvetenhetskampanj med några få klick

Simulering av nätfiske

Stoppa nätfiskeattacker i deras spår med prisbelönt programvara för nätfiske

Förvaltning av politik

Samla dina policyer på ett ställe och hantera policyernas livscykler på ett enkelt sätt

Förvaltning av sekretess

Kontrollera, övervaka och hantera efterlevnad med enkelhet

Hantering av incidenter

Ta kontroll över interna incidenter och åtgärda det som är viktigt

Tillbaka
Industri

Industrier

Utforska mångsidigheten hos våra lösningar inom olika branscher. Från den dynamiska tekniksektorn till sjukvården - ta del av hur våra lösningar skapar vågor i flera sektorer. 


Finansiella tjänster

Skapa en första försvarslinje för organisationer inom finansiella tjänster

Regeringar

En Go-To-lösning för säkerhetsmedvetenhet för myndigheter

Företag

En lösning för utbildning i säkerhetsmedvetande för stora företag

Arbetstagare på distans

Skapa en kultur av säkerhetsmedvetenhet - även i hemmet

Utbildningssektorn

Engagerande utbildning i säkerhetsmedvetenhet för utbildningssektorn

Arbetstagare inom hälso- och sjukvården

Se vår skräddarsydda säkerhetsmedvetenhet för anställda inom hälso- och sjukvården

Teknikindustrin

Förändrad utbildning i säkerhetsmedvetenhet inom teknikindustrin

Överensstämmelse med NIS2

Stöd era krav på efterlevnad av Nis2 med initiativ för ökad medvetenhet om cybersäkerhet

Tillbaka
Resurser

Resurser

Från affischer och policyer till ultimata guider och fallstudier, våra kostnadsfria medvetenhetstillgångar kan användas för att förbättra medvetenheten om cybersäkerhet inom din organisation.

Medvetenhet om cybersäkerhet för Dummies

En oumbärlig resurs för att skapa en kultur av cybermedvetenhet

Dummies guide till cybersäkerhet Elearning

Den ultimata guiden för att implementera effektiv cybersäkerhet Elearning

Ultimat guide till nätfiske

Utbilda medarbetarna i hur man upptäcker och förhindrar nätfiskeattacker

Gratis affischer för medvetenhet

Ladda ner dessa kostnadsfria affischer för att öka medarbetarnas vaksamhet

Policy mot nätfiske

Skapa en säkerhetsmedveten kultur och öka medvetenheten om hot mot cybersäkerheten

Fallstudier

Hör hur vi hjälper våra kunder att skapa positiva beteenden i sina organisationer

Terminologi för cybersäkerhet A-Z

En ordlista över termer inom cybersäkerhet som du måste känna till

Cybersäkerhet beteende mognadsmodell

Granska din utbildning i medvetenhet och jämför din organisation med bästa praxis

Gratis saker

Ladda ner våra kostnadsfria verktyg för att förbättra medvetenheten om cybersäkerhet i din organisation

Tillbaka
MetaCompliance | Utbildning och programvara för cybersäkerhet för anställda

Om

Med 18+ års erfarenhet av marknaden för cybersäkerhet och efterlevnad erbjuder MetaCompliance en innovativ lösning för personalens medvetenhet om informationssäkerhet och automatisering av incidenthantering. MetaCompliance-plattformen skapades för att möta kundernas behov av en enda, heltäckande lösning för att hantera de mänskliga riskerna kring cybersäkerhet, dataskydd och efterlevnad.

Varför välja oss

Lär dig varför Metacompliance är den betrodda partnern för utbildning i säkerhetsmedvetenhet

Ledningsgrupp

Möt MetaCompliance Leadership Team

Karriärer

Gå med oss och gör cybersäkerhet personligt

Specialister på medarbetarengagemang

Vi gör det enklare att engagera medarbetarna och skapa en kultur av cybermedvetenhet

MetaBlog

Håll dig informerad om ämnen för utbildning i cybermedvetenhet och minska riskerna i din organisation.

Beräkning av avkastningen av kampanjer för säkerhetsmedvetenhet

Kampanj för säkerhetsmedvetenhet

om författaren

Dela detta inlägg

Så här kan du beräkna avkastningen på investeringen (ROI) när du utbildar din personal i en kampanj för säkerhetsmedvetenhet.

Enligt en undersökning från ministeriet för kultur, medier och sport (DCMS) drabbades 39 % av de brittiska företagen av en cyberattack under 2022. Kostnaderna för dessa intrång är inte obetydliga. DCMS-rapporten beräknade att de ekonomiska konsekvenserna av en enda cyberattack kostade ett medelstort företag 19 400 pund. När man betänker att organisationer dagligen hotas av cyberattacker är detta en anledning till oro.

Utbildning i säkerhetsmedvetenhet är en av de åtgärder som kan minska sannolikheten för att en attack ska inträffa eller fortskrida. Detta leder till minskade kostnader för en attack. Men är risken för en attack värd priset för att genomföra utbildning i säkerhetsmedvetenhet?

Poster att inkludera när man beräknar avkastningen av en kampanj för säkerhetsmedvetenhet

Innan man börjar räkna ut om "är säkerhetsutbildning värt det" behövs en inventering av de ingående sakerna. En cybersäkerhetsattack och/eller ett dataintrång har många rörliga delar, var och en med materiella och immateriella kostnader.

Här är några av de mest sannolika kostnaderna för en cyberattack:

Den direkta ekonomiska förlusten till följd av en cyberattack

De direkta konsekvenserna av en cyberattack beror både på typen av cyberattack och på organisationen. Till exempel kan en attack med utpressningstrojaner innebära att en lösensumma betalas (även om betalning inte är en rekommenderad strategi). Det är dock värt att notera att beloppen för lösensummor har ökat under de senaste åren.

En rapport från Nordlocker visar att den genomsnittliga betalningen för utpressningstrojaner har ökat med 78 procent, vilket innebär att lösensumman uppgår till hela 541 010 dollar (478 000 pund).

Kostnaderna för en cyberattack kan också omfatta skador på IT-system, den tid som går åt för att åtgärda attacken och grupptalan: i Storbritannien ökade antalet grupptalan efter en cyberattack med 120 procent mellan 2018 och 2020.

Den genomsnittliga kostnaden för en cyberattack bör tas med i beräkningen av avkastningen av en kampanj för säkerhetsmedvetenhet. Detta bör dock också återspegla det genomsnittliga antalet attacker per år. Enligt DCMS-rapporten uppskattar 31 % av företagen och 26 % av välgörenhetsorganisationerna att de angrips minst en gång i veckan.

Tid och arbete för att begränsa en överträdelse

En av konsekvenserna av en cyberattack är att det är svårt att lokalisera exploateringskedjan och begränsa skadan. I en IBM-rapport om kostnaderna för dataintrång konstaterades att den genomsnittliga tiden för att begränsa ett intrång år 2022 var 277 dagar. Under denna tid ökar kostnaderna.

Du bör inkludera nedtid i IT-systemet, IT-support och uppskattade produktivitetsförluster i din beräkning av avkastningen av en kampanj för säkerhetsmedvetenhet.

Skador på rykte

Skador på anseendet är immateriella och därför svåra att kvantifiera. Många faktorer spelar dock in efter en cyberattack som leder till ett negativt rykte. Dessa inkluderar en allmän förlust av förtroende som påverkar kunder, aktiekursen och partnerekosystemet.

Förlusten av förtroende är akut när kunder lämnar ett företag efter ett intrång. I en undersökning av YouGov och Okta framkom att 88 % av kunderna slutar använda ett företag om de känner att de inte kan lita på att de skyddar sina uppgifter.

Det är svårt att kvantifiera och därmed lägga till i en ekvation, men du kanske har en del uppgifter om kundförluster till följd av BI-lösningar (Business Intelligence).

Bristande efterlevnad och böter

Flera dataskyddsbestämmelser, inklusive PCI-DSS och GDPR, kräver eller uppmuntrar starkt användningen av utbildning i säkerhetsmedvetenhet. Om du kan visa att din organisation använder utbildning i säkerhetsmedvetenhet bör du därför ta hänsyn till detta vid eventuella efterföljande tillsynsåtgärder.

När du beräknar avkastningen av en kampanj för säkerhetsmedvetenhet bör du dock ta hänsyn till den typiska kostnaden för böter för bristande efterlevnad i din sektor.

Information Commissioner's Office (ICO) kan ge dig information om hur höga böter som kan drabba ditt företag efter en överträdelse. I den brittiska GDPR och DPA 2018 fastställs till exempel det högsta bötesbeloppet till 17,5 miljoner pund eller 4 % av den årliga globala omsättningen.

Försäkringspremier

Enligt en undersökning av försäkringsbolaget Hiscox planerar 63 procent av de brittiska företagen att köpa en cyberförsäkring som en del av sin strategi. Dessutom kan premierna sänkas om du minskar risken genom att utbilda de anställda i säkerhetsmedvetenhet.

Lägg till kostnaden för cyberförsäkring till din ROI för en kampanj för säkerhetsmedvetenhet som en del av dina totala kostnader för säkerhetsstrategin.

Andra ROI-kostnader inkluderar:

  • Kostnaden för utbildningspaketet och eventuella tilläggsfunktioner, t.ex. simulering av nätfiske.
  • Administrationskostnader för att driva programmet.
  • Förlorad tid på grund av att en anställd genomför övningar för utbildning i säkerhetsmedvetenhet.

Hur man beräknar avkastningen av utbildning i cybersäkerhet

När du väl har uppgifterna kan du sätta in dem i en ROI-ekvation. Som tur är har någon redan undersökt hur man skapar en ekvation för utbildning i säkerhetsmedvetenhet.

En ROI-ekvation ser i sin enklaste form ut så här:

ROI = Beräkning av ROI för kampanjer för ökad säkerhetsmedvetenhet

Var:

R = Avkastning (vinst)

I = Investering (kostnad)

Som ni har sett är det dock mer komplicerat att beräkna R och I för säkerhet, eftersom det finns immateriella kostnader som t.ex. skada på anseendet.

Lyckligtvis har folk inom säkerhetsbranschen tittat på hur komplicerat det är att räkna ut en ROI för investeringar i säkerhetsutbildning. Michael Coden använder till exempel forskning från Massachusetts Institute of Technology (MIT).

En studie från MIT baserar beräkningen av kostnaderna för cybersäkerhetsincidenter på de steg som leder till en cybersäkerhetsincident. Denna forskning har använts för att utveckla ett ramverk som kallas STACHT. Med hjälp av detta ramverk har Coden utvecklat en ekvation för avkastningen av cybersäkerhetsprojekt (t.ex. utbildningskampanjer för säkerhetsmedvetenhet) som omfattar följande:

Fånga3

Var:

Sannolikhet för en kompromiss (PC) = hot multiplicerat med sårbarheter.

Konsekvenserna av en kompromiss (IC) = tillgång multiplicerad med förluster om en kompromiss inträffar.

Codens ekvation används per projekt och anger den sannolika avkastningen på grundval av uppskattningar.

En mer kvalitativ bild av avkastningen av kampanjer för säkerhetsmedvetenhet

Var medveten om att beräkningen av avkastningen av utbildning i säkerhetsmedvetenhet kanske inte bara handlar om att sätta in data i en ekvation. Istället kan det räcka med att bara upprätta en lista över potentiella kostnader och konsekvenser av en cyberattack för att visa att utbildning i säkerhetsmedvetenhet är värt det.

Människor fortsätter att stå i fokus för cyberkriminella; om det finns något sätt att bryta denna cykel kommer det naturligtvis att leda till minskade risker och kostnader.

I en Osterman-rapport beskrivs utbildning i cybersäkerhet som "väsentlig" för att förhindra cyberattacker. Rapporten belyser hur effektiv säkerhetsutbildningen är, med uppgifter som till exempel visar att endast 11 procent av de anställda kunde upptäcka ett phishingmejl före utbildningen, men efter utbildningen kunde 64 procent upptäcka phishingförsök. Bevis som detta kan vara mycket effektiva när man räknar ut fördelarna med att genomföra en kampanj för säkerhetsmedvetenhet.

Utbildning i säkerhetsmedvetenhet för tredjepartsleverantörer

Andra artiklar om utbildning i medvetenhet om cybersäkerhet som du kanske finner intressanta