التوجيهات الاستراتيجية لمديري أمن المعلومات

1. حساب تأثير الحوادث السيبرانية

دعونا نواصل رحلتنا لفهم كيفية استخدام البيانات لتوجيه قراراتنا الاستراتيجية بشأن تطوير استراتيجيتنا الإلكترونية ووضع ميزانيتها.

بُذلت عدة محاولات لحساب التكلفة بالساعة لوقت تعطل المؤسسة التي تواجه حادثًا إلكترونيًا (بغض النظر عن نوعه).
في عام 2014، توصلت دراسة أجرتها شركة Gartner حول تكلفة وقت التوقف عن العمل إلى تقدير قدره 5600 دولار في الدقيقة. وفي وقت لاحق، في عام 2016، قدّر معهد بونيمون الرقم بـ 9000 دولار في الدقيقة.

بغض النظر عن الشركة، وعلى الرغم من اختلافها من شركة لأخرى، فإن الحادث السيبراني مكلف دائماً. ومع ذلك، فإن استخدام متوسط مستمد من بيانات من شركات رائدة قد لا يساعد بشكل كافٍ مدير أمن المعلومات في إقناع مجلس الإدارة بضرورة الاستثمار في الاستراتيجية السيبرانية. لذلك، لتقديم شيء مفيد لمؤسستك، يجب استخدام الآلة الحاسبة وبيانات شركتك الخاصة.

على الرغم من عدم إفصاح معهد بونيمون أو مؤسسة جارتنر عن المعادلات التي يستخدمونها لتحديد المبالغ الاقتصادية الناتجة عن اختراق البيانات، إلا أنهما يذكران بوضوح أنهما أخذا في الاعتبار الأنشطة القانونية والتنظيمية والتقنية، بالإضافة إلى تقدير خسارة قيمة العلامة التجارية وتراجع العملاء وانخفاض إنتاجية الموظفين.

المصدر:: آي بي إم ومعهد بونيمون، تحليل أجراه أبييرو

تمثل الأرقام تكلفة اختراق البيانات الإلكترونية بملايين الدولارات الأمريكية.

كل هذه العناصر تعطينا دلائل على كيفية إجراء حساباتنا الخاصة حول تمويل الحوادث الإلكترونية. وحرصاً على الشفافية، قررنا أن نلقي بعض الضوء على هذه العناصر. ونجد أنه من المؤسف جداً أنه لم تنشر أي دراسة سابقة منهجية واضحة لرؤساء أمن المعلومات لحساب تكاليف الحوادث السيبرانية بأنفسهم. هذه هي محاولتنا لحساب التكلفة التقريبية للحوادث السيبرانية، مع الأخذ بعين الاعتبار التكاليف المباشرة وغير المباشرة وتكاليف الفرصة البديلة:

• التكاليف المباشرة: النفقات المباشرة لتنفيذ نشاط معين (مثل التعاقد مع استشاريين خارجيين للاستجابة للحوادث، والاستعانة بمصادر خارجية لمكتب المساعدة).

• التكاليف غير المباشرة: مقدار الوقت والجهد والموارد التنظيمية الأخرى المنفقة، ولكن ليس كنفقات نقدية مباشرة (مثل التحقيقات الداخلية والاتصالات الداخلية).

• تكاليف الفرصة البديلة: التكاليف الناجمة عن فرص العمل الضائعة نتيجة للآثار السلبية على السمعة بعد إبلاغ الضحايا بالاختراق والكشف عنه علنًا لوسائل الإعلام.

1.1 حساب تكلفة الأجر عن وقت التوقف عن العمل

حساب الأثر المالي على الإنتاجية عملية بسيطة:

الخطوة 1: حدد متوسط أجر الساعة للموظفين المعنيين. ويمكن الحصول على ذلك بسهولة من إدارة الموارد البشرية. ويقبل متوسط تقدير لا يحيد كثيرا عن الرقم المصدق عليه بالكامل.

الخطوة 2: حدد عامل التأثير على الإنتاجية لحدث التعطل. (على سبيل المثال، إذا فُقد الاتصال الأساسي بالإنترنت بسبب هجوم الحرمان من الخدمة (DDoS) ولم يكن لديك نسخة احتياطية، فماذا يعني ذلك بالنسبة لجميع أقسامك؟) قد يكون هذا منخفضًا مثل 10 % أو مرتفعًا مثل 100 %، اعتمادًا على ماهية التعطل وطبيعة عمل الموظفين المتأثرين.

تكلفة وقت التوقف عن العمل = E × I% × S

أين:

- هـ = عدد الموظفين المتأثرين
- I% = عامل الإنتاجية (النسبة المئوية المتأثرة بالحادث)
- ق = متوسط الأجر في الساعة

مثال على ذلك: في فريق يضم 500 موظف محترف يعملون في نموذج قائم على السحابة بالكامل، سيكون الحساب على النحو التالي: 87,97 1 تيراغرام (متوسط الأجر في الساعة) × 90 1 تيراغرام (المستوى المقدر للتأثير على الإنتاجية) × 500 (عدد الموظفين المعنيين) = 39 586,50 39 $ في الساعة.

هذه هي التكلفة الداخلية المباشرة التي تتكبدها الشركة، في الأجور وحدها. ولكن ماذا عن تكاليف الامتثال وتكاليف الفرصة البديلة؟

1.2 طريقة التكلفة الكاملة

إذا أردنا الحصول على مزيد من التفاصيل لوصف حجم المشكلة لصناع القرار في المؤسسة، نحتاج إلى اتخاذ بعض الخطوات الإضافية. ويتمثل النهج الشامل في إضافة التكاليف الداخلية المباشرة (الأموال التي ستخسرها المؤسسة بالفعل) إلى تكاليف الإيرادات (الإيرادات المفقودة التي لا يمكن تحصيلها من العملاء خلال فترة التوقف).

معادلة تكلفة الإنتاجية

تكلفة الإنتاجية = E × I% × C × H

أين:

- هـ = عدد الموظفين المتأثرين
- I% = النسبة المئوية التي يتأثرون بها (على سبيل المثال، هل يمكنهم الاستمرار في أداء
50 % من عملك حتى بعد انقطاع الوصول إلى التطبيق؟
- ج = متوسط التكلفة بالساعة للموظف في الشركة (بما في ذلك 30 % من
النفقات العامة للتدريب والكهرباء والإيجار وما إلى ذلك)
- ح = عدد ساعات عدم النشاط

معادلة خسارة الإيرادات

خسارة الإيرادات = (GR / AH) × I% × H

أين:

- GR = إجمالي الدخل (سنوي)
- AH = إجمالي عدد ساعات العمل (السنوية). تقدير صحيح: 220 يوماً
× 8 ساعات = 1760 ساعة لكل موظف
- I% = النسبة المئوية للأثر على القدرة على الكسب
- ح = عدد ساعات عدم النشاط

1.3 تكاليف الاسترداد والامتثال

لا توجد معادلة موضوعية لحساب تكاليف الاسترداد والامتثال، لذلك يجب أن نستخدم هنا تقديرات تقديرية تستند إلى الظروف الخاصة بمؤسستك. عند وضع التقديرات الخاصة بك، يجب عليك مراعاة الأنشطة التالية:

- التحقيق في الحوادث: ساعات عمل فريق تكنولوجيا المعلومات والأمن الداخلي، بالإضافة إلى محققين جنائيين خارجيين إذا لزم الأمر. تتراوح وظائف التحقيق الجنائي النموذجية من 25,000 دولار إلى أكثر من 250,000 دولار، حسب درجة التعقيد.
- تحديد نطاق اختراق البيانات: تحديد أصحاب البيانات المتأثرين من أجل الكشف التنظيمي المحتمل وإخطار العملاء. وغالبًا ما يتطلب ذلك أدوات متخصصة في التنقيب عن البيانات وتحليلها.
- إعداد وثائق الإخطار والإفصاحات المطلوبة: أتعاب المستشار القانوني، والإيداعات التنظيمية وتكاليف إخطار العملاء. تتراوح تكاليف الإخطار لكل إيداع عادةً من دولار أمريكي واحد إلى 5 دولارات أمريكية لكل شخص متضرر، بالإضافة إلى الرسوم القانونية التي تتراوح بين 200 و500 دولار أمريكي للساعة الواحدة.
- مراقبة الائتمان وخدمات حماية الهوية: غالبًا ما تكون ضرورية أو متوقعة في حالة حدوث انتهاكات تنطوي على بيانات شخصية.
التكاليف النموذجية: من 10 إلى 30 دولاراً سنوياً لكل شخص مصاب.
- معالجة النظام وتقويته: تكاليف إصلاح الثغرات الأمنية وإعادة بناء الأنظمة المخترقة وتنفيذ ضوابط أمنية إضافية لمنع تكرار حدوثها.
- التدريب اللاحق للحادث: تدريب أمني لتجديد المعلومات الأمنية وتدريب محدد على الدروس المستفادة من الحادث.

1.4 تحليل التكلفة والعائد: التأمين والعوائد 

توضح الأمثلة التالية كيف يمكن أن يفوق الاستثمار في التأمين السيبراني وتوكيل الاستجابة للحوادث التكاليف المحتملة للمخاطر السيبرانية التي تتجسد في تعطل الأعمال.

مثال 1: شركة خدمات مالية متوسطة الحجم

لمحة تنظيمية: 500 موظف، و150 مليون دولار من الإيرادات السنوية، ومتوسط الراتب 95,000 دولار في السنة (45.67 دولار في الساعة).

التكاليف المحتملة لحادث فدية لمدة 48 ساعة (بدون تأمين):

- الخسارة في الإنتاجية: 500 × 80 % × 45،67 $ × 48 = 877 000
- خسارة الإيرادات: (150 مليون دولار أمريكي / 1760) × 75 % × 48 = 000 068 3
- خدمات الاستجابة للحوادث الطارئة للحالات الطارئة (بدون رسوم التوكيل): 150 000
- الاسترداد والتصليح: 500 000 $ 500 000
• إجمالي التعرض المحتمل: 4 595 000 4 $

العائد على الاستثمار: ويمثل الاستثمار السنوي البالغ 110,000 $ $ فقط 2.4 % من التعرض المحتمل من حادث واحد. وحتى لو تعرضت المنظمة لحادث واحد كبير فقط كل 5 سنوات، فإن الاستثمار يولد عائداً بنسبة 7.4:1.

مثال 2: المنظمة الصحية

لمحة تنظيمية: 2000 موظف، وإيرادات سنوية تبلغ 400 مليون دولار، ومتوسط تكلفة الاختراقات في قطاع الرعاية الصحية: 10.1 مليون دولار (وفقًا لشركة IBM/Ponemon).

الاستثمار الموصى به:

- التأمين السيبراني (تغطية 10 ملايين دولار أمريكي): 200,000 دولار أمريكي في السنة
- استبقاء العلاقات العامة (200 ساعة في السنة): 000 65 دولار أمريكي في السنة
- المجموع: 000 265 دولار أمريكي في السنة (2.6 1 تيرابايت 3 تيرابايت من متوسط تكلفة الانتهاك)

ونظراً لارتفاع تكاليف الاختراقات في قطاع الرعاية الصحية والتعرض التنظيمي بموجب قانون HIPAA، فإن هذا الاستثمار يوفر حماية مالية بالغة الأهمية بينما تقوم المؤسسة بتطوير نضج برنامجها الأمني.

المراجع

1. مقياس المخاطر من أليانز (2012-2024). المسح السنوي للمخاطر
   الشركات العالمية والمتخصصة. Allianz Global Corporate & Specialty.
   2. IBM Security ومعهد بونيمون. تقرير عن تكلفة اختراق البيانات
   (2013-2024).
   3. Cybereason (2022). «برمجيات الفدية الخبيثة: التكلفة الحقيقية للأعمال».
   https://www.cybereason.com/ransomware-the-true-cost-to-business-2022
   4. Allianz Global Corporate & Specialty (2015). «دليل المخاطر السيبرانية:
   إدارة تأثير الترابط المتزايد».
   5. فاينانشيال تايمز. «مديرو المخاطر يحذرون من أن التأمين الإلكتروني
   يمكن أن يصبح منتجًا غير قابل للتطبيق.
   6. Gartner (2014). «The cost of downtime».
   7. معهد بونيمون (2016). «تكلفة الانقطاعات في مراكز البيانات.
   البيانات».