Bij 90% van de incidenten ligt het gemiddelde verlies lager dan het rekenkundig gemiddelde.<\/p>\n<\/blockquote>\n
Als we het over de verliezen hebben die het gemiddelde bedrijf zal lijden, dan is het logischer om naar andere indicatoren te kijken. In het bijzonder de mediaan (het getal dat de cijfers in twee gelijke delen opdeelt, waarbij de ene helft van de vermelde cijfers hoger en de andere helft lager dan dat getal is) en het geometrisch gemiddelde (een proportioneel gemiddelde). Het rekenkundig gemiddelde kan een erg verwarrend cijfer opleveren vanwege een klein aantal bijzondere incidenten met abnormaal grote verliezen.<\/p>\n
![Verdeling van verliezen door gegevenslekken. <a href=\"https:\/\/www.cyentia.com\/wp-content\/uploads\/IRIS2020_cyentia.pdf\" target=\"_blank\" rel=\"nofollow\">Source<\/a>](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/99\/2020\/08\/26154344\/black-hat-2020-risk-assessment-distribution.png\")
Verdeling van verliezen door gegevenslekken. Source<\/a><\/p><\/div>\n Een ander voorbeeld van een twijfelachtig \u201cgemiddelde\u201d zien we bij de methode van het berekenen van de schade bij gegevenslekken door het aantal getroffen gegevensbestanden te vermenigvuldigen met de gemiddelde schade van het verlies van \u00e9\u00e9n gegevensbestand. In de praktijk blijkt dat deze methode de schade van kleine incidenten onderschat en de schade bij ernstige incidenten zwaar overschat.<\/p>\n Een voorbeeld: enige tijd geleden werd er een nieuwsverhaal verspreid op vele analytische websites waarin werd gemeld dat slecht geconfigureerde clouddiensten bedrijven bijna $ 5 biljoen hadden gekost. Als we op onderzoek uitgaat om te kijken waar dit astronomische bedrag vandaan komt, wordt het duidelijk dat het getal $ 5 biljoen simpelweg het resultaat is van het vermenigvuldigen van het aantal \u201cgelekte\u201d bestanden met de gemiddelde schade van het verlies van \u00e9\u00e9n bestand ($ 150). Dit laatste cijfer komt van het onderzoek 2019 Cost of a Data Breach Study van het Ponemon Institute.<\/p>\n Maar er moeten verschillende kanttekeningen bij dit verhaal worden geplaatst. Ten eerste hield het onderzoek geen rekening met alle incidenten. En ten tweede, zelfs als we alleen het gebruikte voorbeeld beschouwen, geeft het rekenkundig gemiddelde geen duidelijk idee van de verliezen; er werd alleen rekening gehouden met gevallen van gelekte bestanden waarvan het verlies een schadebedrag van minder dan $ 10.000 en meer dan 1 cent zou opleveren. Bovendien wordt uit de methodologie van het onderzoek duidelijk dat het gemiddelde niet geldig is voor incidenten waarbij meer dan 100.000 bestanden werden getroffen. Het vermenigvuldigen van het totaal aantal bestanden dat gelekt was ten gevolge van incorrect geconfigureerde clouddiensten met 150 was dus fundamenteel fout.<\/p>\n Als deze methode wordt gebruikt bij een echte risicobeoordeling, moet er rekening worden gehouden met een andere indicator van de waarschijnlijkheid van verlies, afhankelijk van de schaal van het incident. Dat zou er ongeveer als volgt uitzien:<\/p>\n Afhankelijkheid van de waarschijnlijkheid van schade van het aantal getroffen bestanden door het incident. Source<\/a><\/p><\/div>\n Een andere factor die vaak over het hoofd wordt gezien bij het berekenen van de kosten van een incident is dat moderne gegevenslekken vaak meer dan slechts \u00e9\u00e9n bedrijf schaden. Bij veel incidenten overtreffen de totale verliezen die worden geleden door derde bedrijven (partners, opdrachtgevers en leveranciers) de schade die het bedrijf lijdt waarvan de gegevens werden gelekt.<\/p>\nGemiddelde kosten van een gelekt gegevensbestand<\/h2>\n
![Afhankelijkheid van de waarschijnlijkheid van schade van het aantal getroffen bestanden door het incident. <a href=\"https:\/\/www.cyentia.com\/wp-content\/uploads\/IRIS2020_cyentia.pdf\" target=\"_blank\" rel=\"nofollow\">Source<\/a>](\"https:\/\/media.kasperskydaily.com\/wp-content\/uploads\/sites\/99\/2020\/08\/26154241\/black-hat-2020-risk-assessment-probability.png\")
Het rimpeleffect<\/h2>\n