在数据时代,数据的价值不断彰显,并被人们视为智能时代的“石油”。利用数据,企业可以洞察用户行为,实现精准产品定位和改进;可以进行业务转型不断创新;可以改变自身,成为数据驱动型企业。
但如果企业的数据信息未得到有效保护,会面临安全漏洞或攻击、丢失或泄露内部文件及客户数据、使员工数据信息处于危险境地、损失大量财产、使知识产权或商业秘密处于危险边缘、感染病毒成为黑客攻击目标等等,这不仅严重影响企业业务的运行,还会为企业带来重大的损失。
近几年,国内外大规模数据泄露事件密集发生,如万豪喜达屋数据泄露门、Facebook数据遭违规滥用事件、大数据公司Exactis数据泄露、问答网站鼻祖Quora数据被窃等。这些事件对企业来说,有着怎么样的启示呢?
用户数据的重要性对企业而言不言而喻,然而,大部分公司并没有应对经验和有效的反应机制,甚至都不能快速察觉数据遭遇泄露。在IBM公司发布的报告中,企业发现数据泄露的平均时间是197天,而控制住由此产生的后果还额外需要平均69天。发现和控制的时间越久,由此产生的损失也越高。
面向全球用户基数大,全球的账户都集中存储,不可避免地增加了用户数据泄露风险。
如Equifax、万豪喜达屋等因为泄露的信息中包含用户信用卡信息,引发公众对财产安全的担忧,导致股价暴跌,并面临巨额罚款。
比如Equifax泄露的信息包含近一半美国人的社安号、驾照号、社保号等,这属于个人最私密的信息,消息一出舆论哗然,企业因此付出了高额的补救成本。
俗话说树大招风,像Facebook这样的社交媒体巨头,有无数眼睛盯着,一有风吹草,迅速引爆舆论,进而发酵成信用危机,导致企业事后要花费天价的成本进行弥补。再大的企业也经不起几次这样的放血,更何况企业的公信力一旦崩塌难以重建,企业将日渐式微走向衰败。
IBM的研究报告调查了全球477家公司过去一年2200多起数据泄露事件,发现大型数据泄露的代价十分高昂。平均来看,泄露百万条记录会导致损失2.8亿人民币,而泄露5000万条记录的损失高达24.1亿人民币。
而不同行业的数据泄露成本也不同。在监管较严的行业,如医疗保健和金融行业,数据泄露的成本非常的高,而物流、酒店行业的数据泄露成本就要低很多。对公司而言,数据泄露的损失主要由检测与升级、通知各方、赔偿与罚款以及用户流失这四个方面构成。在监管较严格的地区,数据泄露的罚款非常大,由此带来的股价下跌也经常发生。
企业的信息化程度越高,其遭遇数据泄露的风险越大,数据泄露远不止于信息系统端,还包括线下的物理泄密行为等。因此,企业应该做到“知己知彼”:周期性审查自身安全控制设施及流程,做到知己;对已发生的安全事件及时分析并查漏补缺,引以为戒,做到知彼。
1.网络攻击和未经授权的访问导致的数据泄露
针对网络攻击和未授权的访问,企业应严格控制信息的出入,通过安全审计来检测和监督可疑用户,取消可疑用户的权限,调用更强的保护机制,去掉或修复故障网络以及系统的某些失效部件。
2.硬件/系统漏洞导致的数据泄露
针对企业自主开发的系统或硬件,企业应该制定严格的测试验收和运行维护政策与流程,做到对信息资产的实时监控,并且把发现与清除漏洞作为维护信息安全的首要任务;对于购买的系统或硬件,企业应在SLA中明确第三方企业关于系统或硬件安全的责任,加大监督,及时发现和解决漏洞。
3.第三方导致的数据泄露
针对第三方导致的数据泄露,最重要的是企业提高管理第三方的灵活性、规范第三方管理流程和增加第三方责任感。企业应该对第三方进行持续的监控,比如审计,来确保第三方合作商对企业资源使用的合规性,并且制定相应的BCP以应对突发情况。