数据泄露成本飙升：购买 *** 保险的5个理由

鉴于 *** 环境的日益复杂和威胁的不断变化，组织采取尽可能积极的措施变得更加重要。

尽管数据泄露成本飙升，但大多数组织还没有准备好应对财务和声誉的影响。这很好地解释了为什么 *** 保险日益成为组织必不可少的业务。

如今， *** 风险仍然是每个董事会和中小型企业(SEM)管理者主要关注点。

目前 *** 格局异常混乱——国家支持的间谍组织、经济动机 *** 犯罪团伙和疏忽造成的数据丢失案件层出不穷。风险无处不在，经济后果极其沉重。不得不说， *** 威胁仍然是当今组织面临的最重要、最不断增长的风险之一，但糟糕的现实是，很少有组织真正准备好应对这一挑战。

根据Ponemon Institute根据新的年度数据违规成本研究，2018年数据泄露的全球平均成本148美元，较2017年增长6.4%。有趣的是，包括美国和英国在内的最昂贵的损失成本几乎是全球平均水平的5倍。

显然，这个问题不会消失。虽然由于大规模泄露事件， *** 安全最常见，但最常见的威胁实际上是针对中小企业。本质上，小组织通常是敏捷和创新的。他们将利用技术和互联网的力量来吸引客户。然而，正是这种技术和互联网的广泛应用增加了防护脸。根据国家 *** 安全联盟的一项研究结果，60%遭受黑客攻击的中小企业将在6个月后关闭。

购买 *** 保险的五个原因

今天这样的 “数字干扰” 时代，要想增强抵御 *** 风险的能力，就必须了解 *** 治理责任的全部范围。以下是每个企业(无论规模还是所有权)都需要 *** 保险的五个原因:

1. *** 犯罪呈指数级增长

绝大多数企业都非常依赖在线服务，这进一步扩大了他们的 *** 攻击范围。根据英国 *** 2018年 *** 安全漏洞调查报告，43%的英国组织在过去12个月遭受了 *** 安全攻击或数据泄露。由于高度复杂的攻击手段现在很常见，企业需要假设它们在某些时候会受到破坏，并制定措施（例如，购买 *** 保险）来缓解风险。

2. 数据泄露成本极贵

如上所述，据Ponemon Institute根据《2018年数据违规成本研究》，2018年全球数据泄露平均成本为148美元，总成本接近400万美元。这些数据不包括《欧盟通用数据保护法》(GDPR，20182005年5月生效)和加州《消费者保护法案》(2020年生效)涉及的罚款和制裁金额。我相信，当这些法案在未来正式生效时，这些损失的成本将进一步增加。

但是，组织遭受攻击的真正代价不仅仅只有财务或补救成本，还会造成无法估量和挽回的声誉损失—— *** 攻击可能导致客户信任丧失，导致客户流失；此外，“安全性差”声誉也可能导致组织无法开展新业务或获得 *** 合同等。

3. 如果第三方数据在泄漏中损坏，组织需要承担法律和财务责任

美国国防部(DoD)和欧盟GDPR根据新法律法规，组织只负责任命第三方，这些第三方需要能够提供足够的保证来满足要求NIST 800-171和GDPR要求。国防部和英国信息专员办公室(ICO)对未经尽职调查确保第三方合规的任何组织都将被追究责任，并可能被罚款。“监管罚款”几乎已经成为数据泄露的同义词， *** 风险已经实现了全球化的趋势，这使得遵守不同地区的各种监管政策更具挑战性。

4. 标准/一般保险政策不包括 *** 风险

*** 保险是一种独特的保险，专门用于处理数据隐私和安全，也可以作为保护企业免受数据泄露造成的财务和声誉损失的支持。虽然一般保险政策可能涵盖某些类别的损失，但通常存在许多重大差距， *** 事件可能会影响许多保险类别。一般保险政策通常不太可能承担“普通的”更不用说 *** 攻击或更不用说 *** 攻击或“黑客活动”损失成本。只有专业的 *** 保险政策才能提供广泛的保障。然而，组织需要仔细研究政策，以了解政策条件下提供的保险水平和责任。

5. 提高 *** 意识和风险管理

保险只是一种尽可能挽回损失的手段。简单地采取 *** 保险政策并不能保护组织免受 *** 攻击的影响。鉴于最常见的 *** 风险是社会工程——也就是说，员工自愿但无意识地允许攻击，所以组织必须让每个员工接受 “如何避免和识别 *** 威胁” 的培训，在正确掌握基础知识的前提下，更好地防范 *** 威胁。事实上， *** 攻击所造成的绝大部分伤害都是由于被攻击方无法做出正确的响应。组织需要制定一个全面的风险管理计划，详细说明公司在面对包括未知威胁在内的 *** 攻击时应该做出的响应措施。

打好基础最关键

随着 *** 环境的日益复杂和威胁的不断变化，组织采取尽可能积极的方式变得越来越重要。Cyber Essentials该信息安全认证计划由英国 *** 制定，得到行业的支持和认可，旨在帮助企业防止外部 *** 威胁。据了解，Cyber Essentials英国 *** 通信电子安全小组最初于2014年推出(数字安全要略)(CESG)(英国 *** 通信总部GCHQ 信息安全部)和英国 *** 商业、创新和技能部BSI(英国标准协会)(IA *** E)联盟和信息安全论坛(ISF)共同发展。自2014年10月起，英国中央 *** 处理所有敏感和个人信息ICT供应商必须通过信息和通信技术Cyber Essentials认证。

据悉，Cyber Essentials认证分为两个等级：一级Cyber Essentials经认可的认证机构验证后，要求机构完成自我评估问卷；二级Cyber Essential Plus为了升级安全，主要针对机构在面对外部 *** 和互联网攻击时的韧性和耐力，机构需要通过认证机构的独立安全控制测试来提供更高的保障。

英国当局认为，认证方式将有助于组织——特别是中小企业可能没有专门的 *** 安全团队，一致有效地协调一个地方的所有安全实践。认证是衡量组织 *** 安全 *** 成熟度的重要指标。它有助于防止最常见的 *** 威胁，并对 *** 安全做出承诺。虽然 *** 保险可以在组织面临 *** 威胁时提供一层保护，但它不能取代良好的 *** 卫生行为。

*** 保险应被视为公司整体风险管理的重要补充，但组织不应等待死亡才能面对 *** 风险和数据泄露！

Ponemon Institute2018年数据违规成本研究：

https://securityintelligence.com/ponemon-cost-of-a-data-breach-2018/

【本文是51CTO专栏作者“李少鹏”请通过安全牛(微信微信官方账号)转载原创文章id:gooann-sectv）获取授权】

戳这里，看作者更好的文章