¿Cómo se cuantifica la pérdida de reputación en relación con los incidentes de seguridad?

Tyler tiene una buena respuesta para la cuantificación del riesgo con respecto a los incidentes de seguridad. Sin embargo, la pregunta planteó una pregunta más amplia, es decir, ¿cómo se traduce eso en pérdida de reputación cuantificada?

Una ‘medida’ de reputación podría ser la de Business Week. Publican una lista de las “Mejores marcas globales”:
http://www.businessweek.com/maga…

No sé si la intrusión de TJX, o los otros incidentes que menciona, afectaron la reputación general de esas compañías y si alguien lo ha medido. Puedo decirle: conozco a algunos profesionales de TI que se niegan a comprar en las tiendas TJX, pero sus otros importantes (no profesionales de TI) son ajenos.

Otra ‘medición’ es la calificación crediticia de Moody’s o Standard & Poors. Usted y yo tenemos calificaciones crediticias que se llaman puntaje ‘FICO’. Las corporaciones, sin embargo, también tienen calificaciones crediticias. Estos son emitidos por Moody’s o Standard & Poors. Si una empresa falla en las auditorías de seguridad de TI, tendrá un impacto negativo en la calificación crediticia. Lo más probable es que si ha tenido incidentes de seguridad, habrá hallazgos de auditoría. Por supuesto, si una corporación tiene una mala calificación crediticia, tendrá dificultades para encontrar prestamistas. Si esto no presiona los botones de su CFO, nada lo hará.
http://en.wikipedia.org/wiki/Moo…
http://en.wikipedia.org/wiki/Sta…

La cuestión es que el riesgo de TI es solo uno de los muchos factores que pueden influir en una marca. Puede haber muchos otros factores que contribuyen, incluidos el marketing, las ganancias, el riesgo operativo (del cual TI es parte), el riesgo de crédito y cualquier otro número de factores.

Related Content

¿Qué pruebas o pruebas demuestran o cuantifican la seguridad en línea de las distribuciones actuales del sistema operativo basado en Linux frente a otros sistemas operativos? Linux no parece ser probado en hack-a-thons como Pwn2Own.

¿Cómo detectaron los virus los virus antes de que tuvieran una base de patrón de bits?

Seguridad: ¿cómo mantienen los mejores expertos en seguridad su anonimato en Internet, sin ser rastreados?

¿Cuáles son los cargos contra el acoso cibernético en diferentes países?

¿Qué son los códigos captcha?

No estoy 100% seguro de la fórmula exacta, pero debería buscar la expectativa de pérdida única. También puede echar un vistazo a empresas como http://www.reputationdefender.com/ que intentan proteger a las empresas y a las personas del daño directo a la reputación, para ver cómo calculan los puntajes. Creo que calcular la reputación es una bestia más complicada que solo mirarlo desde un análisis de RIESGO, simplemente porque incluso en algunos casos una PÉRDIDA de reputación para un grupo en particular puede crear una GANANCIA para otro.

La respuesta rápida:

Expectativa de pérdida única = valor monetario esperado de la ocurrencia de un riesgo en un activo.


“Cuando el factor de exposición está representado en el impacto del riesgo sobre el activo, o porcentaje del activo perdido. Como ejemplo, si el valor del activo se reduce dos tercios, el valor del factor de exposición es .66. Si el activo se pierde por completo , el factor de exposición es 1.0. El resultado es un valor monetario en la misma unidad que se expresa la expectativa de pérdida única (euros, dólares, yenes, etc.): ”
( http://en.wikipedia.org/wiki/Sin …) El factor de exposición es el porcentaje subjetivo y potencial de pérdida para un activo específico si se realiza una amenaza específica.

El factor de exposición (FE) es un valor subjetivo que la persona que evalúa el riesgo debe definir.

El daño a la reputación generalmente proviene de la información que se filtró o se puso a disposición que no debería estar disponible, o porque el mensaje es verdadero, por lo que podría comenzar con el costo de la información que se filtró o la pérdida de un cliente debido a algo que puede causar problemas reputación de una organización y literalmente pone un valor de costo en dólares en la pérdida de datos asociada.
Antes de calcular la pérdida de reputación, quizás intente calcular el costo de los datos que se filtran y el daño que podría causar a la empresa.

Otra forma de calcularlo desde mi perspectiva rudimentaria podría ser:

$ daños = mensajes totales de mala reputación en cualquier costo medio x $ de un solo cliente

Por supuesto, esto no funcionaría porque no todos los mensajes negativos hacen mella en una marca grande ni siempre tienen un impacto negativo en la imagen de la marca y en realidad crean un polo opuesto. AKA: el viejo dicho de que toda publicidad es buena publicidad … (aunque no estoy seguro de estar completamente de acuerdo)

Tampoco funcionaría porque cada mensaje puede tener un impacto oculto asociado o un impacto a más largo plazo debido a que no puede calcular el número total de mensajes incorrectos SOOOO

Supongo que hay una probabilidad del número total de mensajes incorrectos en todos los medios para cuántos clientes ya no comprarán más. Básicamente es como hacer una EVALUACIÓN DE RIESGOS en una persona u organización en su conjunto solo por su reputación.

Por ejemplo, si toma mcdonalds, a pesar de que puede haber cientos de demandas contra ellos mientras lee esto, la mayoría de las personas en todo el mundo que comen allí probablemente todavía estén comiendo allí en este momento … y probablemente comerán allí independientemente de su mala reputación …. Por lo tanto, el impacto o el costo en dólares que se pierde para una organización basada solo en la reputación es bastante difícil de hacer de manera preventiva. Después del hecho, es relativamente fácil …

Entonces, quizás una mejor manera de verlo sería evaluar la situación observando el nivel general de RIESGO.


Exposición al riesgo = Probabilidad de que ocurra el riesgo x Pérdida total de riesgo

O
Costo total de riesgo = Probabilidad de probabilidad x Costo en dólares en impacto

http://en.wikipedia.org/wiki/Ris


Ahora volviendo a la expectativa de pérdida única

http://en.wikipedia.org/wiki/Sin

Y luego siguiendo a JAMES MANISCALCHI
http://www.digitalthreat.net/201

Expectativa de pérdida anual (ALE) = Expectativa de pérdida única (SLE) x Tasa anual de ocurrencia (ARO)

Esto le daría una estimación de la Expectativa de pérdida anual de cómo se puede cuantificar la reputación de una organización o individuos en relación con los Incidentes de seguridad.

Andrew Lemke

More Interesting

¿Cómo verifica Windows (OS) la contraseña? ¿Dónde almacena sus contraseñas?

¿Por qué los ataques de fuerza bruta en contraseñas son una preocupación?

¿Realmente tenemos una escasez de expertos en seguridad cibernética? ¿Cuál es el trabajo, en ciberseguridad, con el futuro más brillante?

¿Cómo encuentro la contraseña de esta computadora portátil?

¿Qué hace que los beneficios del rescate de ciberataques WannaCry sean difíciles de rastrear?

¿Por qué algunos piratas informáticos no revelan intencionalmente las lagunas y errores que han encontrado en los sitios web?

Cómo localizar todas las cuentas web que he creado en línea y eliminarlas

He creado un perfil de usuario de Chrome en una computadora que ya no es confiable para sincronizar mis datos. ¿Cómo puedo eliminar de forma remota a este usuario para evitar que los datos se vuelvan a sincronizar en ese dispositivo? ¿Cómo puedo eliminar los datos sincronizados anteriores?

Quiero hacer proyecto en seguridad de la información. ¿Cuáles son algunos buenos temas?

¿Por qué tengo tantos eventos de seguridad registrados con el usuario 'N / A'?

¿Cuáles son las tareas diarias de un investigador de seguridad cibernética?

¿Cuáles son algunas amenazas de seguridad informática?

Cómo formatear mi iPad sin saber ninguna contraseña

¿Cuáles son los principales MOOC de ciberseguridad en ciberseguridad?

Cómo descifrar un archivo zip protegido con contraseña