IBMのレポートでは、データ侵害の財務上の影響が拡大しています

2019.08.27

サイバーセキュリティへの投資の実際の投資収益率（ROI）を計算することは、発生しなかったイベントに基づいて組織が節約した金額を本質的に評価しようとするため、常に少し注意が必要です。ブロックされた組織に対して開始された攻撃の数をカウントできる場合があります。ただし、これらの攻撃がサイバーセキュリティ防御を侵害することに成功した場合、これらの攻撃がどれほど致命的または高コストであったかを判断することはできません。

明らかなことは、サイバーセキュリティ侵害のコストが上昇していることです。IBMの新しいレポートによると、過去5年間でデータ侵害のコストが12％増加し、現在では平均で392万ドルのコストがかかっています。報告書はまた、従業員が500人未満の企業が平均して250万ドル以上の損失を被ったことにも注目しています。米国のデータ侵害コストは平均して最高で819万ドルで、世界平均の2倍以上です。

IBMに代わってPonemon Instituteによって収集されたデータに基づいて、レポートでは、データ侵害によって発生したコストの67％が1年以内に実現したことも明らかになりました。2年目にはさらに22％が発生し、残りの11％は違反から2年以上後に発生します。

サイバーセキュリティおよび実証済みのインシデント対応計画に関する実証可能なROIがあります。 #databreach

ただし、調査では、テスト済みの専用のインシデント対応チームを持つ組織は、データ侵害のコストを一貫して最小限に抑えることができます。インシデント対応計画も広範囲にテストしたインシデント対応チームを持つ組織は、コストが他のチームよりも平均で123万ドル少ないため、サイバーセキュリティに起因する実証可能なROIがあることは明らかです。サイバーセキュリティチームが直面する課題は、特定の環境でケースを証明するために独自のメトリックセットを収集することです。

Ponemonの調査では、100万件を超える記録に関連する違反もカバーしています。これらの組織の中で、5000万件の記録に関連する違反は、3億8,800万ドルの費用がかかると予測されています。要点は、少数の組織が関与する少数の大規模な侵害が結果をゆがめる傾向がある場合、真のデータ侵害コストを予測することは難しいということです。

ただし、使用されているメトリックに関係なく、ビジネスリーダーは、サイバーセキュリティチームに投資に対する何らかの形の利益を実証することを望んでいることは明らかです。サイバーセキュリティはIT予算の大きな割合を占めており、脅威が高度化するにつれて、それらの脅威に対抗するために新しいサイバーセキュリティテクノロジーに投資する必要があることを組織が認識しているため、コストが高くなる可能性があります。もちろん、サイバーセキュリティへの投資を合理化して、これらの新しいツールの購入に対する支払いを支援する機会があります。ただし、その合理化のメリットが明らかになるまでには時間がかかる場合があります。つまり、サイバーセキュリティチームは追加の先行投資を主張する必要があります。

まとめると、サイバーセキュリティ技術に対する既存の投資がプラスの影響を与えていることは明らかです。問題は、数百万ドル単位で測定されるコストに関連するデータ侵害に直面して、ビジネスリーダーが実際にどれほどひどい事態になりうるかを理解するのが難しいことです。