Så här kan du beräkna avkastningen på investeringen (ROI) när du utbildar din personal i en kampanj för säkerhetsmedvetenhet.
Enligt en undersökning från ministeriet för kultur, medier och sport (DCMS) drabbades 39 % av de brittiska företagen av en cyberattack under 2022. Kostnaderna för dessa intrång är inte obetydliga. DCMS-rapporten beräknade att de ekonomiska konsekvenserna av en enda cyberattack kostade ett medelstort företag 19 400 pund. När man betänker att organisationer dagligen hotas av cyberattacker är detta en anledning till oro.
Utbildning i säkerhetsmedvetenhet är en av de åtgärder som kan minska sannolikheten för att en attack ska inträffa eller fortskrida. Detta leder till minskade kostnader för en attack. Men är risken för en attack värd priset för att genomföra utbildning i säkerhetsmedvetenhet?
Poster att inkludera när man beräknar avkastningen av en kampanj för säkerhetsmedvetenhet
Innan man börjar räkna ut om "är säkerhetsutbildning värt det" behövs en inventering av de ingående sakerna. En cybersäkerhetsattack och/eller ett dataintrång har många rörliga delar, var och en med materiella och immateriella kostnader.
Här är några av de mest sannolika kostnaderna för en cyberattack:
Den direkta ekonomiska förlusten till följd av en cyberattack
De direkta konsekvenserna av en cyberattack beror både på typen av cyberattack och på organisationen. Till exempel kan en attack med utpressningstrojaner innebära att en lösensumma betalas (även om betalning inte är en rekommenderad strategi). Det är dock värt att notera att beloppen för lösensummor har ökat under de senaste åren.
En rapport från Nordlocker visar att den genomsnittliga betalningen för utpressningstrojaner har ökat med 78 procent, vilket innebär att lösensumman uppgår till hela 541 010 dollar (478 000 pund).
Kostnaderna för en cyberattack kan också omfatta skador på IT-system, den tid som går åt för att åtgärda attacken och grupptalan: i Storbritannien ökade antalet grupptalan efter en cyberattack med 120 procent mellan 2018 och 2020.
Den genomsnittliga kostnaden för en cyberattack bör tas med i beräkningen av avkastningen av en kampanj för säkerhetsmedvetenhet. Detta bör dock också återspegla det genomsnittliga antalet attacker per år. Enligt DCMS-rapporten uppskattar 31 % av företagen och 26 % av välgörenhetsorganisationerna att de angrips minst en gång i veckan.
Tid och arbete för att begränsa en överträdelse
En av konsekvenserna av en cyberattack är att det är svårt att lokalisera exploateringskedjan och begränsa skadan. I en IBM-rapport om kostnaderna för dataintrång konstaterades att den genomsnittliga tiden för att begränsa ett intrång år 2022 var 277 dagar. Under denna tid ökar kostnaderna.
Du bör inkludera nedtid i IT-systemet, IT-support och uppskattade produktivitetsförluster i din beräkning av avkastningen av en kampanj för säkerhetsmedvetenhet.
Skador på rykte
Skador på anseendet är immateriella och därför svåra att kvantifiera. Många faktorer spelar dock in efter en cyberattack som leder till ett negativt rykte. Dessa inkluderar en allmän förlust av förtroende som påverkar kunder, aktiekursen och partnerekosystemet.
Förlusten av förtroende är akut när kunder lämnar ett företag efter ett intrång. I en undersökning av YouGov och Okta framkom att 88 % av kunderna slutar använda ett företag om de känner att de inte kan lita på att de skyddar sina uppgifter.
Det är svårt att kvantifiera och därmed lägga till i en ekvation, men du kanske har en del uppgifter om kundförluster till följd av BI-lösningar (Business Intelligence).
Bristande efterlevnad och böter
Flera dataskyddsbestämmelser, inklusive PCI-DSS och GDPR, kräver eller uppmuntrar starkt användningen av utbildning i säkerhetsmedvetenhet. Om du kan visa att din organisation använder utbildning i säkerhetsmedvetenhet bör du därför ta hänsyn till detta vid eventuella efterföljande tillsynsåtgärder.
När du beräknar avkastningen av en kampanj för säkerhetsmedvetenhet bör du dock ta hänsyn till den typiska kostnaden för böter för bristande efterlevnad i din sektor.
Information Commissioner's Office (ICO) kan ge dig information om hur höga böter som kan drabba ditt företag efter en överträdelse. I den brittiska GDPR och DPA 2018 fastställs till exempel det högsta bötesbeloppet till 17,5 miljoner pund eller 4 % av den årliga globala omsättningen.
Försäkringspremier
Enligt en undersökning av försäkringsbolaget Hiscox planerar 63 procent av de brittiska företagen att köpa en cyberförsäkring som en del av sin strategi. Dessutom kan premierna sänkas om du minskar risken genom att utbilda de anställda i säkerhetsmedvetenhet.
Lägg till kostnaden för cyberförsäkring till din ROI för en kampanj för säkerhetsmedvetenhet som en del av dina totala kostnader för säkerhetsstrategin.
Andra ROI-kostnader inkluderar:
- Kostnaden för utbildningspaketet och eventuella tilläggsfunktioner, t.ex. simulering av nätfiske.
- Administrationskostnader för att driva programmet.
- Förlorad tid på grund av att en anställd genomför övningar för utbildning i säkerhetsmedvetenhet.
Hur man beräknar avkastningen av utbildning i cybersäkerhet
När du väl har uppgifterna kan du sätta in dem i en ROI-ekvation. Som tur är har någon redan undersökt hur man skapar en ekvation för utbildning i säkerhetsmedvetenhet.
En ROI-ekvation ser i sin enklaste form ut så här:
ROI = Beräkning av ROI för kampanjer för ökad säkerhetsmedvetenhet
Var:
R = Avkastning (vinst)
I = Investering (kostnad)
Som ni har sett är det dock mer komplicerat att beräkna R och I för säkerhet, eftersom det finns immateriella kostnader som t.ex. skada på anseendet.
Lyckligtvis har folk inom säkerhetsbranschen tittat på hur komplicerat det är att räkna ut en ROI för investeringar i säkerhetsutbildning. Michael Coden använder till exempel forskning från Massachusetts Institute of Technology (MIT).
En studie från MIT baserar beräkningen av kostnaderna för cybersäkerhetsincidenter på de steg som leder till en cybersäkerhetsincident. Denna forskning har använts för att utveckla ett ramverk som kallas STACHT. Med hjälp av detta ramverk har Coden utvecklat en ekvation för avkastningen av cybersäkerhetsprojekt (t.ex. utbildningskampanjer för säkerhetsmedvetenhet) som omfattar följande:
Var:
Sannolikhet för en kompromiss (PC) = hot multiplicerat med sårbarheter.
Konsekvenserna av en kompromiss (IC) = tillgång multiplicerad med förluster om en kompromiss inträffar.
Codens ekvation används per projekt och anger den sannolika avkastningen på grundval av uppskattningar.
En mer kvalitativ bild av avkastningen av kampanjer för säkerhetsmedvetenhet
Var medveten om att beräkningen av avkastningen av utbildning i säkerhetsmedvetenhet kanske inte bara handlar om att sätta in data i en ekvation. Istället kan det räcka med att bara upprätta en lista över potentiella kostnader och konsekvenser av en cyberattack för att visa att utbildning i säkerhetsmedvetenhet är värt det.
Människor fortsätter att stå i fokus för cyberkriminella; om det finns något sätt att bryta denna cykel kommer det naturligtvis att leda till minskade risker och kostnader.
I en Osterman-rapport beskrivs utbildning i cybersäkerhet som "väsentlig" för att förhindra cyberattacker. Rapporten belyser hur effektiv säkerhetsutbildningen är, med uppgifter som till exempel visar att endast 11 procent av de anställda kunde upptäcka ett phishingmejl före utbildningen, men efter utbildningen kunde 64 procent upptäcka phishingförsök. Bevis som detta kan vara mycket effektiva när man räknar ut fördelarna med att genomföra en kampanj för säkerhetsmedvetenhet.