Jag arbetar med att sammanställa trovärdiga kostnader för säkerhetsrelaterade incidenter. Incidenter i vid bemärkelse. Kostnaderna måste inte vara 100% vetenskapligt underbyggda men behöver vara trovärdiga dvs det måste kunna förklaras hur man kommit fram till en viss kostnad och koncensus runt kostnadens riktighet bör kunna uppnås.
Detta för att kunna förklara nyttan med säkerhet för företag och andra organisationers ledning.  Samt, inte minst, möjliggöra för dessa att därmed våga/lättare kunna fatta beslut i frågor om säkerhet.
Ett exempel; om den riktiga kostnaden är 100 000 kr för en säkerhetsincident (dataintrång, brand etc) och schablonkostnaden säger 90 000 kr så torde detta vara tillräckligt bra. Detta då vi enbart behöver en schablon som är hyfsat nära sanningen/tillräckligt trovärdig. Den behöver alltså inte vara fullständigt rätt för alla i alla lägen utan ”endast good enough”.
Mina två frågor till dig är följaktligen,

1. Har du/ni några typfall med siffror som ni kan lämna ut?

Jag behöver inte berätta varifrån jag fått siffrorna men jag måste med gott samvete kunna hävda att ”underlaget till denna typ av händelse kommer från x antal organisationer som jag personligen fått information från”.
Informationen kommer att sammanställas och publiceras enligt Creative Commons-licens dvs fritt för alla att ta del av informationen och använda den utan kostnad.

2. Vilket/vilka typfall anser du bör vara med på listan?

Exempel på typfall är:

• Dataintrång – större
• Dataintrång – mindre
• Forlorad nyckel
• Förlorad id-handling
• Brand – mindre (exempel brand i papperskorg)
• Brand – större
• etc etc