L'impatto iniziale dovrebbe essere quantificato dall'impatto iniziale (o probabilità o rischio complessivo) o dovrebbe essere quantificato dall'impatto (potenziale) finale [chiuso]

Questa risposta a questa domanda dipende molto dall'ambiente. Alcuni esempi:

• Se ti trovi in un mercato con una concorrenza spietata, lavoratori sottopagati o altrimenti insoddisfatti, in cui i dipendenti hanno accesso a preziose informazioni, allora la probabilità che queste informazioni perdano è molto alta, cioè il rischio che un dipendente prende quando ruba le informazioni è probabilmente basso rispetto al guadagno possibile.
• Ma se tratti bene i tuoi dipendenti, non hai concorrenza feroce e le informazioni non sono così preziose il guadagno derivante dal furto è molto basso rispetto al rischio assunto e quindi il furto è meno probabile.

Questa valutazione del rischio dovrebbe includere la valutazione del valore delle informazioni, la fiducia che puoi avere nei tuoi dipendenti (che dipende molto dal modo in cui le tratti, ma anche dalle offerte della concorrenza) e dalle leggi applicabili che un dipendente prendere in considerazione quando si confronta il proprio rischio quando si ruba al guadagno.

La gestione del rischio viene generalmente effettuata quantificando la possibilità che qualcosa accada e anche l'impatto sul business se ciò accade. Per il rischio di fuga di dati, l'impatto può essere estremamente alto per le aziende che hanno proprietà intellettuale (IP) che se divulgate a un concorrente causerebbero una perdita di quote di mercato lungo la strada (perché il concorrente ha ottenuto il progetto per le aziende prossimo commercializzare con esso prima). Oppure, l'impatto può avere un impatto devastante sulla reputazione, sanzioni pecuniarie o persino accuse penali. Quindi di solito si calcola l'impatto come estremamente alto.

La probabilità che ciò accada dipende da un sacco di cose, ad esempio se sono controlli sull'IP in formato digitale. È criptato? L'accesso è controllato? È in atto un monitoraggio per rilevare l'accesso sospetto a tale IP? Questo è solo alcuni, ma l'elenco dei controlli che dovrebbero essere messi in atto per proteggere l'IP digitale è lungo.

Oltre ai controlli, si calcola anche quanto sia fattibile rimuovere l'IP rubato dai locali. Ancora una volta, l'elenco dei controlli è lungo ma solo per citarne alcuni: bloccare desktop e disabilitare lo storage portatile come USB, implementare i controlli email per rilevare e impedire l'invio di e-mail di quell'IP, sicurezza di rete che impedisce l'accesso ai servizi di cloud storage (dropbox, ecc), sicurezza di rete che rende impossibile ottenere un endpoint sulla rete che non è sotto il controllo della società, ad es un laptop personale, un raspberry pi, ecc.

Quindi la risposta alla tua domanda su quanto alto il rischio di furto di dati è "dipende" da un sacco di cose, che sta andando a variare da una società all'altra.

Sì, il titolo e la domanda sono fuori allineamento. Il furto dell'hardware del server è solo un modo in cui le informazioni proprietarie possono essere rubate. Non considero nemmeno questa possibilità perché l'ultima volta che ho visto un'azienda con server non in un centro dati ben controllato era tornata negli anni '90. Ciò non significa che non possa essere fatto, ma ancora una volta, quanto è probabile che ciò dipenda dai controlli sull'accesso al data center e alle apparecchiature che si muovono dentro e fuori.

Valutare questo rischio deve essere fatto caso per caso, e per essere fatto correttamente è necessario seguire una valutazione dei controlli che hanno un impatto su questa classificazione del rischio.

La conoscenza di come funziona l'azienda è in gran parte irrilevante. Nella maggior parte dei casi, sarà "male".

Ciò che importa sono i file su quei server. Tutti i tuoi disegni di prodotto. Tutto il tuo software proprietario. Tutte le tue offerte e proposte attuali. Tutti i tuoi calcoli dettagliati sui costi del contratto. E così via.