Awareness Политика и управление

Расходы на соблюдение требований и утечки данных

by Альянс Лазаря 0 комментарий
Получите экспертную поддержку по мониторингу и безопасности с помощью Lazarus Alliance

Данные, пожалуй, один из самых ценных активов любой организации. Информация о клиентах, личные данные сотрудников и конфиденциальная бизнес-аналитика представляют собой сложную задачу, поскольку данные, проходящие через современные предприятия, представляют собой как значительные возможности, так и серьёзные риски. 

Компании сталкиваются с непростой задачей: инвестировать в меры по обеспечению соответствия требованиям для защиты конфиденциальной информации, одновременно готовясь к реальной возможности нарушения этих мер. Понимание истинных затрат, связанных как с соблюдением требований, так и с утечками данных, стало важнейшим условием долгосрочного успеха и устойчивости любой организации.

 

Реальная стоимость соответствия

Когда руководители обсуждают расходы на соблюдение нормативных требований, разговор часто сводится к прямым расходам на выполнение нормативных требований. Однако фактическое финансовое воздействие выходит далеко за рамки отдельных статей бюджета. 

Обеспечение соответствия требованиям подразумевает комплексные инвестиции в системы, людей и процессы, которые затрагивают практически каждый аспект деятельности организации.

Первоначальные расходы на инфраструктуру значительны и продолжаются. Организациям необходимо инвестировать в технологии безопасности, такие как шифрование, межсетевые экраны и системы обнаружения вторжений, которые требуют постоянных обновлений, исправлений и замен. Компания среднего размера может ежегодно тратить сотни тысяч долларов на лицензирование, обслуживание, обучение и модернизацию оборудования и программного обеспечения. Операционные расходы, включающие оплату труда специалистов по кибербезопасности, мониторинг и аудит, дополнительно увеличивают финансовую нагрузку из-за сложной нормативной базы (GDPR, HIPAA, PCI DSS), требующей многоуровневой безопасности.

Помимо технологий, не менее строгие требования предъявляются к человеческим ресурсам и рабочей силе. Эффективная программа обеспечения соответствия невозможна без экспертов на стратегических должностях. Ключевые роли включают:

  • Сотрудники по защите данных которые контролируют стратегии соблюдения требований и выполняют функции связующего звена с регулирующими органами.
  • Специалисты по информационной безопасности которые внедряют и поддерживают технические меры безопасности.
  • Комплаенс-аналитики которые следят за соблюдением правил и проводят внутренние аудиты.
  • Юрисконсульт обладающий опытом в области законов о конфиденциальности в различных юрисдикциях.

Соблюдение требований — удовольствие не из дешёвых. Специалисты по безопасности — ограниченный ресурс, а глобальные операции влекут за собой дополнительные расходы из-за разнообразия и зачастую конкурирующих нормативных требований. Кроме того, оценка соответствия новых продуктов и услуг требованиям может препятствовать инновациям, а административные расходы требуют значительных ресурсов, особенно для небольших компаний, испытывающих нехватку специализированного персонала.

 

Скрытые издержки утечки данных

Несмотря на все усилия и инвестиции в обеспечение соответствия требованиям и безопасности, утечки данных продолжают происходить всё чаще. Финансовые последствия, как правило, гораздо серьёзнее ожидаемых, а затраты почти всегда значительно превышают стоимость системы предотвращения. 

Расходы, связанные с нарушением, происходят в несколько этапов, каждый из которых влечет за собой финансовые потери:

  • Обнаружение и первоначальное реагирование: Как только обнаруживается нарушение, команды реагирования на инциденты включаются в работу, часто привлекая внешних экспертов-криминалистов за 300 долларов в час и более. Эти специалисты спешат локализовать нарушение, установить, что произошло, и сохранить улики. Юридические службы мобилизуются, чтобы разобраться в требованиях к уведомлениям, в то время как технические специалисты работают круглосуточно, часто в три раза быстрее обычного, чтобы устранить уязвимости и восстановить системы.
  • Расследование и оценка: Эксперты-криминалисты неделями расследуют произошедшее, как злоумышленники получили доступ и какие данные были скомпрометированы. Это включает в себя проведение детального аудита систем, анализ журналов и, в некоторых случаях, обратную разработку вредоносного ПО. Для проверки может потребоваться отключение систем, что приводит к сбоям в работе, которые могут обходиться крупным предприятиям в миллионы долларов в день. Кроме того, руководители часто отвлекаются от стратегической работы по управлению кризисом.
  • Уведомление и связи с общественностью: Требования к уведомлению могут быстро превратиться в логистический кошмар. Организации обязаны уведомлять пострадавших лиц, регулирующие органы, кредитные бюро и правоохранительные органы в сжатые сроки. В зависимости от нормативных требований, вы можете отвечать за рассылку писем, телевизионную рекламу, рекламу на веб-сайтах и ​​другие формы уведомлений.
  • Исправление и восстановление: Организации обычно предоставляют услуги по кредитному мониторингу, защите от кражи личных данных и предотвращению мошенничества в течение одного-трех лет после нарушения по цене 10–30 долларов США на человека и до более чем 700 долларов США за два года страхования. Для миллиона пострадавших это невероятно дорогостоящая услуга, от которой можно (и нужно было) отказаться.  
  • Правовые и нормативные последствия: Коллективные иски обычно возникают в течение нескольких месяцев и могут тянуться годами, при этом суммы урегулирований в крупных делах часто достигают сотен миллионов долларов. Расследования регулирующих органов могут длиться ещё дольше, приводя к значительным штрафам и мерам принудительного характера. Страховые взносы по киберстрахованию часто удваиваются или утраиваются после серьёзного нарушения, что приводит к постоянным расходам на долгие годы.

 

Влияние, выходящее за рамки доходов

Получите экспертную поддержку по мониторингу и безопасности от Lazarus Alliance

Хотя прямые издержки болезненны и поддаются количественной оценке, косвенные и долгосрочные издержки от утечек данных часто оказываются для организаций ещё более разрушительными. Эти менее заметные издержки могут сохраняться годами после устранения первоначального инцидента, затрагивая практически все аспекты бизнес-процессов.

  • Ущерб репутации и потеря доверия клиентов: В эпоху, когда у потребителей есть неограниченный выбор большинства товаров и услуг, доверие становится решающим фактором. Исследования неизменно показывают, что потребители теряют доверие к организациям, которые сталкиваются с утечками данных, и многие предпочитают переходить на другие платформы.
  • Контроль со стороны регулирующих органов и постоянное бремя соблюдения требований: Организации, сталкивающиеся с нарушениями, часто подвергаются повышенному вниманию со стороны регулирующих органов, что приводит к более частым проверкам и более строгому надзору на долгие годы вперед. Репутационные последствия мер государственного принуждения усугубляют финансовый ущерб, поскольку освещение в СМИ штрафов и взысканий усиливает впечатление о провале организации.
  • Недостаток конкурентоспособности на рынке: Организации, восстанавливающиеся после нарушений, могут оказаться исключенными из числа претендентов на крупные контракты, особенно в отраслях, где безопасность имеет первостепенное значение. Потенциальные деловые партнеры могут потребовать дополнительные гарантии безопасности или страховое покрытие, что может увеличить общие расходы на ведение бизнеса.

Профилактика или устранение последствий: какой курс лучше?

Когда организации сравнивают затраты на соблюдение требований с потенциальными расходами на утечку данных, расчеты оказываются довольно простыми: профилактика почти всегда оказывается эффективнее устранения неполадок. IBM обнаружила, что средняя стоимость утечки данных составляет 4.4 миллиона долларов., в то время как надежная программа обеспечения соответствия требованиям тратит в год лишь малую часть этой суммы.

Это сравнение подчеркивает несколько ключевых моментов:

  • Предсказуемость против неопределенности: Расходы на обеспечение соответствия нормативным требованиям существенны, но предсказуемы. Вы можете заложить их в бюджет. Расходы на нарушения? Они возникают внезапно и могут иметь разрушительные последствия.
  • Инвестиции против убытков: Деньги, потраченные на обеспечение соответствия требованиям, создают возможности и инфраструктуру, которые укрепляют вашу организацию. Деньги, потраченные на устранение нарушений, просто вылетают в трубу, не принося никакой пользы.
  • Контроль против Хаоса: Вы сами решаете, как инвестировать в обеспечение соответствия требованиям. Нарушение вынуждает вас тратить деньги реактивно, обычно в самый неподходящий момент.

Страховая отрасль осознала эту реальность. Взносы по киберстрахованию значительно выросли, и страховщики стали более разборчивыми в выборе страховщиков. Теперь они тщательно проверяют ваши меры безопасности, прежде чем предлагать полис, фактически делая наличие строгих программ соответствия требованиям обязательным условием для получения страхового покрытия.

 

Стратегические подходы к управлению обоими

Умные организации уже давно перестали относиться к соблюдению требований и предотвращению нарушений как к неизбежному злу. Вместо этого они интегрировали эти функции в свой подход к рискам и ведению бизнеса в целом. 

Отправной точкой является тщательная оценка рисков, которая отвечает на основные вопросы: какие данные у нас есть, где они находятся и что может пойти не так? Определив это, вы сможете тратить деньги на действительно важные вещи, а не распылять бюджет. 

Не менее важно сформировать в компании менталитет, основанный на безопасности. Когда сотрудники искренне заботятся о защите данных, а не воспринимают её как очередное надоедливое правило, которое нужно соблюдать, вся организация становится вашей защитной системой. Именно тогда соблюдение требований перестаёт быть обузой и начинает восприниматься как норма.

 

Снижайте расходы с Lazarus Alliance

Реальность такова: утечки данных неизбежны. Это не пессимизм, а просто условия, в которых мы находимся. Организации, которые опережают ситуацию и считают защиту данных одним из основных бизнес-приоритетов, не просто лучше справляются с инцидентами. Именно они выходят из этой ситуации более сильными.

Чтобы узнать больше о том, как Lazarus Alliance может помочь, напишите нам

Загрузите брошюру нашей компании.

Нет изображения Пусто

Альянс Лазаря

Веб-сайт: