您的组织在数据安全方面的支出是多少?这个数字很可能会非常非常高。即使存储成本下降,越来越多的数据从公司内部设备、服务器和整个数据中心转移到云端,各种规模的公司,以及非营利组织、医疗机构和政府机构,都在花费更多的钱来抵御来自黑客的外部攻击——然而,这还远远不够。《时代》杂志最近刊登了一篇封面故事代码战争:互联网是战场,奖品是你的信息,而漏洞就是武器,标题是“第一次世界大战”。尽管在这场新的数据战争上花费了数十亿美元,但我们似乎正在输掉这场战争。最近,well-publicized hacking cases involving companies such as Target and P.F. Chang’s are but skirmishes in this fast-growing conflict that affects us all.
总的来说,对公司的这种攻击让美国公司付出了高昂的代价,而防止这种未经授权的数据访问的努力和花费的资金对个人组织和整个经济都造成了损害。波耐蒙研究所(Ponemon Institute)最近发布了关于数据泄露影响的年度报告(2014年数据泄露成本研究:美国),记录了此类数据入侵的惊人代价。对于美国公司来说,目前数据泄露的平均成本为590万美元,平均每条泄露记录(意味着可以识别实际人员的信息)达到201美元。
该研究还发现,与前几年的发现一致,数据泄露的每条记录成本(246美元/条)远高于系统故障(171美元/条)和员工错误(160美元/条)造成的成本。平均而言,遭遇数据泄露的公司花费了417,700美元来检测漏洞并确定其根本原因。公司还平均产生了160万美元的应对成本(包括法律费用、和解费、对受害者的支付,以及应对事件的营销成本)。
所有这些都值得注意,因为他们的方法专门排除了超过10万条丢失或被盗记录的灾难性数据泄露事件,以免影响整体结果。因此,像塔吉特百货和张鹏飞事件这样的重大事件甚至不计入这些成本。包括这样的重大案件可能会加剧这些已经令人恐惧的统计数据。最后,上述研究发现,目前,公司每年发生数据泄露事件的几率为19%,这将影响1万条或更多的记录。至于公共部门,不幸的是,它们的记录脆弱性最高,达到23.8%。
然而,这些数据盗盗者想要的并不总是金钱,而公司并不是唯一容易受到攻击的群体。今年5月,德克萨斯州医疗保健设施网络的领导者圣约瑟夫卫生系统(St. Joseph Health System)透露,2013年12月发生了一次为期三天的大规模网络入侵。这次安全漏洞泄露了德克萨斯州中部超过40万名过去和现在患者的医疗和个人记录。黑客还获得了这些设施的员工记录。今年夏天早些时候,《纽约时报》详细报道了中国黑客如何侵入美国政府人事管理办公室(OPM)的数据库,获得了数万名申请绝密安全许可的联邦雇员的记录。在此之前,今年早些时候发生了一起广为人知的案件,数字入侵者获得了美国能源部(DOE)员工和承包商的个人数据。
事实上,波内蒙研究所的报告特别强调了这样一个事实,即医疗保健组织的每条记录成本(人均316美元)在任何组织类型中都是最高的,而公共部门机构发生数据泄露的风险最大(每年23.8%)。波耐蒙方法论会特别地排除从这些数字来看,这些重大事件影响了人事管理局和能源部,因为这些研究人员认为,涉及超过10万条记录的案件会扭曲他们的数据。万博体育下载app
那么我们该做些什么呢?组织需要认识到一个简单的真理。今天,一个组织的IT战略和它的整体战略之间根本没有区别。正如我们所看到的,当一个组织经历重大的IT尴尬时,必须处理更大的战略后果,通常会带来非常昂贵和持久的后果。保护客户数据是保持客户信任和忠诚的必要条件。塔吉特的案子已经证明了近期交通数据对于这家零售巨头来说,在发生重大数据泄露后,消费者回到你的网站和商店消费的速度将会很慢。
因此,当涉及到用于安全的it支出时,我们需要改变高管们的思维方式。我们需要重新关注此类支出的投资回报率。高管们经常陷入“新车陷阱”,专注于他们能看到的花里花哨。是的,这可能意味着要在公司网站上购买新的批准印章。是的,这可能意味着付钱给“红队”黑客,试图找到你电脑系统的漏洞。是的,各公司都在竞相实施新的物理安全层(想想Visa的护城河或谷歌的短吻鳄)。最后,我们都已经习惯了各种类型软件的“升级文化”。
我们需要对我们目前在IT安全方面所做的事情的效用(在某些情况下,是徒劳的)提出尖锐的问题。如果我们不要求高管们在涉及it时开始提出棘手的问题,并确保我们努力获得“最好的”——即为我们今天最重要的资产——信息提供有益的数据保护基础设施,那么对我们所有人来说,后果将是可怕的。越快越好。
讨论: