主動披露數(shù)據(jù)泄露的中小企業(yè)往往遭受的經(jīng)濟(jì)損失要少40%
根據(jù)最新的卡巴斯基報告“企業(yè)如何將數(shù)據(jù)泄露的成本降到最低”,決定主動將數(shù)據(jù)泄露事件披露給利益相關(guān)者和公眾的中小企業(yè)的平均損失要比那些事故泄露給媒體的同行要少40%����。在大型企業(yè)中�����,也出現(xiàn)了相同的趨勢。
如果不及時將有關(guān)數(shù)據(jù)泄露的信息適當(dāng)?shù)赝ㄖ?,可能會讓?shù)據(jù)泄露造成的經(jīng)濟(jì)和信譽(yù)損失更為嚴(yán)重。一些備受矚目的案件包括雅虎(Yahoo!)���,因為沒有將其遭遇的數(shù)據(jù)泄露事件通知其投資者而被罰款和批評�����,還有Uber 因掩蓋其數(shù)據(jù)泄露事件而被罰款����。
卡巴斯基的報告基于對全球5,200多名IT和網(wǎng)絡(luò)安全從業(yè)者的調(diào)查,調(diào)查顯示�����,能夠掌控局面的組織通常能夠降低損失�����。披露數(shù)據(jù)泄露事件的中小企業(yè)的成本估計為930,000美元����,而事件泄露給媒體的同行則遭受了155,000美元的損失。大型企業(yè)面臨的情況同樣如此:那些主動披露遭遇數(shù)據(jù)泄露事件的企業(yè)遭受的損失較那些事件被泄露給媒體的企業(yè)較少(少28%)���,它們的損失分別為113.4萬美元和158.3萬美元�����。
只有約一半(46%)的企業(yè)會主動披露數(shù)據(jù)泄露事件�。經(jīng)歷過數(shù)據(jù)泄露的組織和企業(yè)中���,有30%選擇不披露事件�����。當(dāng)事件泄露給媒體后�����,有近四分之一(24%)的企業(yè)試圖掩蓋事件�。
盡管企業(yè)不披露數(shù)據(jù)泄露事件所造成的損失最小,但是這種做法遠(yuǎn)非理想��。如果無意間向公眾泄露了其網(wǎng)絡(luò)安全事件�,那么這類公司就有遭受更大損失的風(fēng)險。
調(diào)查進(jìn)一步證明��,對于那些無法立即發(fā)現(xiàn)攻擊的公司�,風(fēng)險尤其高。29%的中小企業(yè)要花費一周多的事件才從媒體新聞中發(fā)現(xiàn)自己遭受了入侵�,這比那些幾乎立即發(fā)現(xiàn)入侵的企業(yè)(15%)多出一倍。對大型企業(yè)來說�����,這些數(shù)據(jù)也很相似����,分別為32%和19%。
主動披露可以幫助公司扭轉(zhuǎn)局面���,將其向?qū)居欣姆较虬l(fā)展��,而且還不僅限于經(jīng)濟(jì)影響���。如果客戶第一時間知道發(fā)生了什么,他們很可能還會保持對品牌的信任���。另外��,公司還可以給客戶提供下一步該怎么做的建議��,讓他們的資產(chǎn)得到保護(hù)����。公司還可以通過與媒體分享可靠和正確的信息�����,從他們的角度來敘述事情��,而不是依賴第三方媒體來錯誤地描述情況�����,”卡巴斯基高級產(chǎn)品營銷經(jīng)理 Yana Shevchenko 評論說。
為了降低數(shù)據(jù)泄露帶來的破壞性后果的幾率����,卡巴斯基建議企業(yè)提前采取以下措施:
- 為了實現(xiàn)企業(yè)端點級別的高級威脅檢測、調(diào)查和主動威脅追蹤以及快速響應(yīng)��,請部署EDR解決方案����,例如卡巴斯基端點檢測和響應(yīng)。網(wǎng)絡(luò)安全專業(yè)技能有限的小型企業(yè)可以從卡巴斯基EDR Optimum中獲益�。該解決方案提供基礎(chǔ)的 EDR 功能,包括更好的端點可視性��、簡化的原因分析和自動響應(yīng)選項���。
- 除了端點保護(hù)外�,企業(yè)應(yīng)當(dāng)部署能夠在網(wǎng)絡(luò)層面檢測高級威脅并得到威脅情報加強(qiáng)(例如卡巴斯基反針對性攻擊平臺)的企業(yè)級安全解決方案��。這種解決方案有助于防范專業(yè)網(wǎng)絡(luò)罪犯的攻擊���,這些罪犯偏愛多種媒介的攻擊方法�����,往往將許多不同的技術(shù)組合成一種計劃攻擊�。
- 為了及時應(yīng)對網(wǎng)絡(luò)攻擊��,聯(lián)合內(nèi)部的事件響應(yīng)團(tuán)隊作為第一線響應(yīng)�����,并將更復(fù)雜的事件升級�����,將其提交給第三方專家���。
- 為員工引入安全意識培訓(xùn)����,向他們解釋如何識別網(wǎng)絡(luò)安全事件以及發(fā)生事件時應(yīng)該如何做����,包括立即通知公司的IT安全部門。
- 考慮對涉及數(shù)據(jù)泄露后果的所有各方進(jìn)行特別培,包括船舶專業(yè)人員和IT安全負(fù)責(zé)人���,例如卡巴斯基事件傳播�����。
完整版報告請參見這里����。
關(guān)于這項調(diào)查
卡巴斯基全球企業(yè)IT安全風(fēng)險調(diào)查(ITSRS)于2020年6月采訪了31個國家的5,266名IT業(yè)務(wù)決策者�����。受訪者被問及其組織內(nèi)部的IT安全狀況���、面臨的威脅類型以及從攻擊中恢復(fù)時需要應(yīng)對的成本�����。
網(wǎng)站標(biāo)題:主動披露數(shù)據(jù)泄露的中小企業(yè)往往遭受的經(jīng)濟(jì)損失要少40%
文章分享:
http://uogjgqi.cn/article/dhggdcg.html
掃二維碼與項目經(jīng)理溝通
我們在微信上24小時期待你的聲音
解答本文疑問/技術(shù)咨詢/運營咨詢/技術(shù)建議/互聯(lián)網(wǎng)交流
