| A | B | C | D | E | F | G | H | I | J | K | L | M | N | O | P | Q | R | S | T | U | V | W | X | Y | Z | |
|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|---|
1 | ||||||||||||||||||||||||||
2 | ||||||||||||||||||||||||||
3 | Data Breach Cost Estimator | |||||||||||||||||||||||||
4 | ||||||||||||||||||||||||||
5 | Completion Guidance | |||||||||||||||||||||||||
6 | ||||||||||||||||||||||||||
7 | Read the full Security Scientist guide on calculating data breach loss costs using Monte Carlo simulations here | |||||||||||||||||||||||||
8 | ||||||||||||||||||||||||||
9 | N.B. This worksheet models likely outcomes of cyber breaches to assist with high-level planning. Likelihood values and loss calculation are illustrative and are not a substitute for a thorough assessment of all factors that could contribute to, or affect a cyber breach at any organization. Security Scientist is not responsible for any loss, disruption or harm arising from the use of this calculator, | |||||||||||||||||||||||||
10 | 1 - Make copy of this workbook and name it appropriately to reflect the assessment date and purpose. | |||||||||||||||||||||||||
11 | ||||||||||||||||||||||||||
12 | 2 - Ensure you read the guide to calculating breach sizes and costs before you complete the worksheet. This will ensure that you are familiar with the methodology of the process and behavior of the model. | |||||||||||||||||||||||||
13 | ||||||||||||||||||||||||||
14 | 3 - Complete the information sections for the organization being assessed in 'Sheet 2 - Baseline Settings'. | |||||||||||||||||||||||||
15 | ||||||||||||||||||||||||||
16 | 4 - Set the baseline conditions for the organization being assessed in 'Sheet 2 - Baseline Settings' if this is a generic model, or you are unsure of the specific measures in place, leave the baseline settings in place. | |||||||||||||||||||||||||
17 | The simulation for the baseline and all models will show: - The simulated likelihood of a breach over the 5-yer model as a percent. - The maximum loss based on the number of records and value per record as a dollar amount. (This is fixed as a max-loss scenario is always a possibility, no matter how remote.) - The value at risk (VAR) based on a likelihood x impact (event likelihood times the max loss) calculation as a dollar amount. - The RoI for any measure with an ascribed dollar value as a percentage return. (For additional scenarios.) ** Reminder - these values are illustrative and descend to compare the effect of different security setting and mitigation approaches. | |||||||||||||||||||||||||
18 | 5 - Once the baseline is established, move to 'Sheet 3 - Scenario & Mitigation Modelling' where you can set different parameters for up to three additional scenarios. This will model the different outcomes for each set of security and mitigation settings, comparing to the baseline. You can also add an estimated cost for any measure for the assessment period (5 years) to determine an RoI for each measure. (In the case of a cost saving, simply make the value negative.) If you do not want model multiple scenarios, simply select 'No' in the 'Include (Y/N)' field to omit additional scenarios from the report. | |||||||||||||||||||||||||
19 | NB - You can manually the weighting factors for any additional mitigation measure you want to simulate. These values range from 0.5 to 1.5 and each 0.1 change corresponds to a 10% change in likelihood so something that reduces the likelihood by 10% should be set at 0.9, where something that increases the likelihood by 20% would be set at 1.2. The exact value should reflect an informed, professional assessment of the effect of a particular measure as these adjustments have a significant effect on the model. | |||||||||||||||||||||||||
20 | ||||||||||||||||||||||||||
21 | 6 - The simulation reruns each time the worksheet is adjusted, edited or saved so expect to see the values change as these simulations run. Expect to see small lags while the simulation runs if you are using a slower system, or are working with an online version of the calculation. On very slow systems or poor connections, the worksheet may not behave as expected. | |||||||||||||||||||||||||
22 | ||||||||||||||||||||||||||
23 | 7 - Upon completion, print a copy of all simulations and outcomes from the 'Consolidated Report' sheet. | |||||||||||||||||||||||||
24 | ||||||||||||||||||||||||||
25 | Worksheet Dos and Don’ts | |||||||||||||||||||||||||
26 | ||||||||||||||||||||||||||
27 | DO | DO NOT | ||||||||||||||||||||||||
28 | Make a copy of this template before you start your assessment. | Try to change the formulae, links or constant settings for the model: this will break the simulation | ||||||||||||||||||||||||
29 | ||||||||||||||||||||||||||
30 | Take your time and assess each factor carefully. | Adjust the weighting factors for any mitigation measures unless you are sure of the effect. | ||||||||||||||||||||||||
31 | Only enter text in clear cells - colored cells are all autoformatted | |||||||||||||||||||||||||
32 | ||||||||||||||||||||||||||
33 | ||||||||||||||||||||||||||
34 | ||||||||||||||||||||||||||
35 | ||||||||||||||||||||||||||
36 | ||||||||||||||||||||||||||
37 | ||||||||||||||||||||||||||
38 | ||||||||||||||||||||||||||
39 | ||||||||||||||||||||||||||
40 | ||||||||||||||||||||||||||
41 | ||||||||||||||||||||||||||
42 | ||||||||||||||||||||||||||
43 | ||||||||||||||||||||||||||
44 | ||||||||||||||||||||||||||
45 | ||||||||||||||||||||||||||
46 | ||||||||||||||||||||||||||
47 | ||||||||||||||||||||||||||
48 | ||||||||||||||||||||||||||
49 | ||||||||||||||||||||||||||
50 | ||||||||||||||||||||||||||
51 | ||||||||||||||||||||||||||
52 | ||||||||||||||||||||||||||
53 | ||||||||||||||||||||||||||
54 | ||||||||||||||||||||||||||
55 | ||||||||||||||||||||||||||
56 | ||||||||||||||||||||||||||
57 | ||||||||||||||||||||||||||
58 | ||||||||||||||||||||||||||
59 | ||||||||||||||||||||||||||
60 | ||||||||||||||||||||||||||
61 | ||||||||||||||||||||||||||
62 | ||||||||||||||||||||||||||
63 | ||||||||||||||||||||||||||
64 | ||||||||||||||||||||||||||
65 | ||||||||||||||||||||||||||
66 | ||||||||||||||||||||||||||
67 | ||||||||||||||||||||||||||
68 | ||||||||||||||||||||||||||
69 | ||||||||||||||||||||||||||
70 | ||||||||||||||||||||||||||
71 | ||||||||||||||||||||||||||
72 | ||||||||||||||||||||||||||
73 | ||||||||||||||||||||||||||
74 | ||||||||||||||||||||||||||
75 | ||||||||||||||||||||||||||
76 | ||||||||||||||||||||||||||
77 | ||||||||||||||||||||||||||
78 | ||||||||||||||||||||||||||
79 | ||||||||||||||||||||||||||
80 | ||||||||||||||||||||||||||
81 | ||||||||||||||||||||||||||
82 | ||||||||||||||||||||||||||
83 | ||||||||||||||||||||||||||
84 | ||||||||||||||||||||||||||
85 | ||||||||||||||||||||||||||
86 | ||||||||||||||||||||||||||
87 | ||||||||||||||||||||||||||
88 | ||||||||||||||||||||||||||
89 | ||||||||||||||||||||||||||
90 | ||||||||||||||||||||||||||
91 | ||||||||||||||||||||||||||
92 | ||||||||||||||||||||||||||
93 | ||||||||||||||||||||||||||
94 | ||||||||||||||||||||||||||
95 | ||||||||||||||||||||||||||
96 | ||||||||||||||||||||||||||
97 | ||||||||||||||||||||||||||
98 | ||||||||||||||||||||||||||
99 | ||||||||||||||||||||||||||
100 | ||||||||||||||||||||||||||