遠(yuǎn)程勞動(dòng)力的這種突然且意想不到的變化對企業(yè)提出了挑戰(zhàn)，要求他們尋找新的協(xié)作和共享信息的方法。盡管應(yīng)用程序和程序可能有所不同，但它們都有一個(gè)共同點(diǎn)：云。

無論是否流行，現(xiàn)實(shí)情況是網(wǎng)絡(luò)安全風(fēng)險(xiǎn)并不會(huì)在全球健康危機(jī)發(fā)生后消失或減少。事實(shí)上，許多人認(rèn)為事實(shí)恰恰相反。除此之外，突然轉(zhuǎn)向云托管解決方案可能會(huì)影響您的網(wǎng)絡(luò)風(fēng)險(xiǎn)暴露。使用 RiskLens 和信息風(fēng)險(xiǎn)因子分析 (FAIR) 模型，您可以確定該變化對您的利潤的影響程度。

要了解風(fēng)險(xiǎn)暴露的變化，您需要從相關(guān)場景中分析您面臨的風(fēng)險(xiǎn)，首先假設(shè)資產(chǎn)存儲(chǔ)在本地，然后假設(shè)它是云托管的。

有許多風(fēng)險(xiǎn)場景與這種情況相關(guān)。我建議選擇最有可能進(jìn)行分析的 3-5 個(gè)，以獲得總損失風(fēng)險(xiǎn)的“全局”概念。如果您對所需的工作量猶豫不決，請不要擔(dān)心 - 通過使用RiskLens 平臺(tái)的分類功能，您可以在午餐時(shí)間分析您選擇的場景。

出于本練習(xí)的目的，我們將重點(diǎn)關(guān)注以下場景：

惡意外部行為者（威脅）對 XYZ 數(shù)據(jù)庫（資產(chǎn)）中包含的敏感信息進(jìn)行機(jī)密性破壞（影響）會(huì)帶來多少風(fēng)險(xiǎn)？

第 1 步：現(xiàn)在的曝光度是多少？（本地）

為了了解當(dāng)前與 XYZ 數(shù)據(jù)庫中的敏感信息泄露相關(guān)的損失風(fēng)險(xiǎn)，您需要了解兩件事：XYZ 數(shù)據(jù)庫中包含的敏感信息泄露發(fā)生的頻率（用公平術(shù)語來說，即  “損失事件 頻率”）以及每次發(fā)生的財(cái)務(wù)損失風(fēng)險(xiǎn)（損失幅度）。

(1) 丟失事件頻率

根據(jù)您擁有的信息，可以選擇進(jìn)一步深入并評估丟失事件頻率的組成部分：外部惡意行為者嘗試破壞 XYZ 數(shù)據(jù)庫中的敏感信息的頻率（威脅事件頻率）以及嘗試成功的概率（漏洞）。

假設(shè)該事件以前沒有在組織中發(fā)生過，請考慮這是否是因?yàn)樗緵]有被嘗試過（考慮信息的價(jià)值、組織本身的可見性、數(shù)據(jù)庫的公眾知名度等），還是因?yàn)樗捎诳刂?流程到位而未能成功？

(2) 損失幅度

損失幅度分為兩個(gè)主要部分；主要和次要損失由六種形式組成：反應(yīng)、替代、生產(chǎn)力、競爭優(yōu)勢、聲譽(yù)以及罰款和判決。對于每種情況，必須確定六種情況中哪一種適用。對于數(shù)據(jù)庫泄露，我期望得到以下結(jié)果：響應(yīng)（主要）、響應(yīng)（次要）、罰款和判決（次要）以及聲譽(yù)（次要）。了解有關(guān)捕獲損失幅度的更多信息。

上圖顯示了每年發(fā)生特定年度財(cái)務(wù)損失風(fēng)險(xiǎn)（年化損失風(fēng)險(xiǎn)）或更多風(fēng)險(xiǎn)的可能性。在此示例中，給定年份發(fā)生 1.072 億美元或更多損失的可能性約為 62%。

第 2 步：當(dāng)采用云托管時(shí)，曝光度會(huì)如何？

要估計(jì)遷移到云托管解決方案后將面臨多少風(fēng)險(xiǎn)，您必須首先確定哪個(gè)主要組件將受到更改的影響：

• 嘗試事件的頻率（威脅事件頻率）
• 事件成功的頻率（漏洞）
• 如果發(fā)生的話會(huì)有多糟糕（損失幅度）

通常，這些領(lǐng)域中只有一個(gè)受到重大影響，但可能因組織而異。一旦確定了哪些組件受到影響，您就可以估計(jì)影響的程度。例如，您可能會(huì)確定，由于云提供商加強(qiáng)了外圍控制并提高了修補(bǔ)節(jié)奏，遷移到云將導(dǎo)致漏洞減少 20%。

 在云托管解決方案的未來狀態(tài)下，現(xiàn)在最有可能的年化損失風(fēng)險(xiǎn)為 0 美元。這意味著在大多數(shù)模擬年份（在本例中使用 RiskLens 平臺(tái)運(yùn)行帶有標(biāo)準(zhǔn)迭代的蒙特卡羅模擬的 5,000 年）中，損失事件并未發(fā)生，這意味著損失風(fēng)險(xiǎn)為 0 美元。這通常是由于頻率低（每年少于一次）、漏洞低或兩者兼而有之的結(jié)果。在本例中，是兩者的結(jié)合推動(dòng)了這一結(jié)果。

第三步：有什么區(qū)別？

了解在考慮本地（當(dāng)前狀態(tài)）或云托管（未來狀態(tài)）解決方案時(shí)因 XYZ 數(shù)據(jù)庫中的敏感數(shù)據(jù)泄露而面臨的風(fēng)險(xiǎn)程度后，最后一步是評估投資回報(bào)率。

比較圖顯示，遷移到云托管解決方案后，平均年化損失風(fēng)險(xiǎn)減少了約 1.02 億美元。組織的下一步是確定遷移所需的財(cái)務(wù)投資金額（資本和 FTE），以計(jì)算投資回報(bào) (ROI)。

關(guān)于云托管解決方案是否會(huì)帶來更多或更少風(fēng)險(xiǎn)的持續(xù)爭論并不是一個(gè)非黑即白的問題。下次您的組織考慮在云中遷移或建立新系統(tǒng)時(shí)，請確保全面的  定量風(fēng)險(xiǎn)評估成為決策的一部分