数据泄漏企业需慎重 行动过快或致耗资加大

信息安全研究公司Ponemon Institute最新的研究报告中显示,在数据泄漏后行动过快可能会耗费更多金钱。

抢先通知也不可能使得数据泄漏造成的损失降低,相反可能投入更多。

在其5年的数据研究中,Ponemon Institute发现大约有36%的参与企业在数据泄漏一个月内通知受害者,但最终每个受损记录支付$ 219,而其他公司只支付了$196。根据这项研究原因可能是在发现、通知及相关活动过程中公司行动过快,在这些过程中容易产生耗资巨大的过失。

在收集全部信息前因数据泄漏带来的恐慌及作出决策很有可能会导致延伸到其他人的信贷业务,而这些人其实并未受到影响,信息也并没有处在风险当中。最初的评估可能显示100,000人,但实际上只有50000人数据受损,在通知过程中就会导致浪费金钱和努力。

整体而言,这份报告发现,一次受损的平均成本从2008年的$202上涨到2009年$204。一次数据泄漏的组织成本从2008年的665万上升到2009年的675万,增加了2个百分点。

据这份报告,最大的数据泄漏损害在于现有和未来客户的流失,这被称为"异常的用户变动率"。有最高的用户变动率的行业是制药、通信、医疗保健,大概在6%左右。金融服务行业的用户变动率在5%。总的来说,所有行业的平均用户变动率在09年时3.7%,比08年高出0.1%。

顾客越来越意识到他们交托的数据需要更为安全的保护和隐私水平。Ponemon Institute的研究继续说明数据未收到足够保护的公司不仅需要为数据泄漏付出昂贵的代价,同时会使顾客丧失信心造成长远的不良影响。

因内部疏漏造成的数据泄漏问题减少了,但是恶意网络攻击和僵尸网络造成的数据泄漏比率在09年增加到24%,时08年的2倍。这种攻击的受害人每个受损记录需支付$215,比内部疏漏造成的泄漏付出的成本高出40%。

同时,企业都已经在技术上投资规模加大来解决这个问题。使用加密(58%),身份和存取管理(49%)和数据丢失预防产品(42%)的企业都有所增加。

任何有效地数据安全策略都要求一个技术、意识和教育的平衡,因为涉及到公司的政策和流程。频繁的恶意攻击导致的数据泄漏显示了侦测此类攻击的组织能力的进步。个人意识是一个持续的努力,是有效数据安全政策中降低成本的一个重要因素。