平衡隐私和业务风险
保护个人数据隐私与保护公司资源安全是企业网络安全计划的两个主要目标。在之前的文章中,我们讨论了如何综合考虑这些目标与推行隐私优先的安全策略的价值。
在本文中,我们将深入探讨不进行安全投资的风险和成本,以及安全和隐私主管如何成为强大的合作伙伴,说服企业安全投资的重要性。如果安全和隐私主管携手合作,则可以找到适当的安全工具,保护企业免受数据泄露的风险,以及做出明智的决策,确定最适合企业的解决方案。
真正的危害在哪里?
理想情况下,企业的安全和隐私主管应该彼此密切合作。实施有效的数据安全计划,是确保客户和公司数据隐私的最佳方法。
隐私主管可以认识到安全措施对于保护客户数据的价值。不过,在某些情况下,安全主管可能难以说服隐私主管了解某些安全技术的优势。如果没有清楚地了解安全解决方案的工作原理和用途,则可能会给数据隐私保护带来风险。例如,当安全主管建议启用电子邮件安全工具,扫描公司所有电子邮件以挫败网络钓鱼攻击,或者使用安全 Web 网关,让公司 IT 团队查明员工在工作电脑上访问的网站以阻止员工访问包含恶意软件的网站时,隐私主管对此可能会持怀疑态度。
在考虑企业网络的安全投资时,重要的是要考虑企业试图防范的真正隐私危害是什么?公司的隐私主管需要权衡的是:电子邮件自动扫描流程(识别可接受或有风险的邮件)对员工隐私的潜在危害与缺乏充分的安全措施对整个公司造成的潜在危害。如果不采取此类保护措施,员工可能很容易成为网络钓鱼攻击的受害者,导致威胁行为者使用该员工的凭据访问内部系统,并窃取公司客户的敏感个人数据。
我认为,深刻认识哪些隐私危害是组织面临的最大风险,是实施有效的隐私优先安全策略的关键。在许多情况下,安全投资的收益超过潜在成本。在上述示例中,值得注意的是,全球大多数司法管辖区的员工在使用公司电子邮件系统发送邮件时几乎没有获得隐私保护。但是,如果公司客户的个人数据遭到泄露,公司可能会面临数据泄露通知义务、监管处罚,以及合同违约金。
计算安全投资不足的成本
企业网络安全解决方案旨在解决企业面临的各种不同威胁。例如,一种常见的威胁是潜在数据泄露,2023 年数据泄露的平均成本达到 445 万美元。然而,这个数字忽略了遭受数据泄露的公司所承受的声誉损失,以及数据泄露对客户的影响。
虽然我们无法确切地知道一家未受保护的企业在特定年份可能遭受的数据泄露事件数量,但我们可以估算。例如,85% 的公司在过去一年中至少遭受过一次勒索软件攻击,并且 24% 的数据泄露事件是由勒索软件造成。这意味着一家公司很有可能在一年内同时遭受勒索软件攻击和非勒索软件数据泄露。
虽然只是一个粗略的估算,但这表明,保护不力的公司每年的潜在成本可能高达数千万美元,甚至更多。此外,网络安全事件对企业客�户的潜在影响更是难以估量。深入了解重大数据泄露事件的细节,便会快速发现大多数事件都是由一些基本的安全问题造成。通常,弱密码、证书过期,以及其他基本安全措施未达到预期目标是重大安全事件的根本原因。如果网络安全解决方案有助于减轻这些风险并防范各种最常见的安全漏洞,例如反恶意软件、电子邮件扫描和 Zero Trust 访问控制,则可以为公司及其客户提供巨大的潜在利益。
投资分层安全系统,降低风险
在许多情况下,新安全解决方案的优势显而易见:它可以在一定程度上降低遭受网络攻击的风险。哪怕是防范一次网络攻击,也能为企业节省大量成本。从数字上来看,如果网络安全解决方案的年度成本低于预期节省的金额,则这项投资物有所值。
但是,选择适当的安全供应商至关重要。无论何时供应商访问某公司的系统和数据,公司必须评估该供应商是否已采取充分的安全措施。安全供应商遭受网络安全攻击的示例屡见不鲜,其客户的系统和数据因此可能面临风险。
最近的 Okta 数据泄露事件就是一个典型示例,体现了安全供应商数据泄露对客户造成的潜在影响。许多企业使用 Okta 作为身份提��供商来实施单点登录 (SSO)。攻击者可以通过访问 Okta 环境,获得对 Okta 客户用户帐户的访问权限。如果这些客户没有采取额外的访问保护措施,则可能容易遭受黑客的攻击,黑客可能会窃取数据、植入恶意软件或执行其他恶意操作。
在评估安全投资的隐私风险时,务必考虑企业安全的过往记录和认证历史。例如,2020 年,只有 43.4% 的公司在年中评估期间完全符合 PCI-DSS 标准要求,这表明两次审计之间的安全控制措施有所松懈。
另一方面,如果公司积极寻求可选认证,例如 ISO 27001 和 27018、SOC 2 以及其他认证,则不太可能出现那些让自身及其客户面临风险的安全漏洞。Cloudflare 始终遵守必需认证和可选认证要求,并对其 1.1.1.1 DNS 解析器服务(若未提供适用认证)进行了独立审计。Cloudflare 还利用端到端加密、数据本地化和 Zero Trust 访问管理等安全技术,最大程度地保护用户隐私并遵守区域数据隐私法律法规的独特要求。
权衡风险与优势
虽然可能难以计算安全投资的 ROI,但其风险与优势却显而易见。如果一家公司采取薄弱的网络安全措施,意味着其迟早会遭遇数据泄露,届时唯一的问题就是金钱损失、声誉受损,以及对那些将个人数据托付给该公司的下游用户造成的损害程度。
从数据�隐私和风险管理的角度来看,安全投资几乎始终是明智之举。最大限度地降低安全投资的隐私风险将放大其潜在的隐私保护优势。安全和隐私领导者不仅掌握代价高昂的个人数据泄露和安全漏洞的证据,而且在主张增加安全投资时,他们还可以通过寻找拥有良好安全、隐私和合规记录的解决方案,使天平进一步朝着有利于公司的方向倾斜。
隐私优先的安全策略是 Cloudflare 理念的核心原则。Cloudflare 信任中心体现了我们尽量保持高标准安全性和透明度的承诺,加倍努力来证明我们符合所有适用的法规和标准要求。我们的产品旨在利用 Cloudflare 对网络威胁格局的独特见解和最新的安全技术,识别潜在威胁并最大限度减少对敏感数据的访问。使用 Cloudflare 简化并实现无处不在的安全。
本文来自有关影响当今技术决策者的最新趋势和主题的系列文章。
深入探讨这个话题
阅读《为任何地方的数据提供统一保护》解决方案简介,进一步了解 Cloudflare 如何实现更有效、更高效、更敏捷的数据保护。
作者
Emily Hancock - @emilyhancock
Cloudflare 首席隐私官
关键要点
阅读本文后,您将能够了解:
安全和隐私协作的重要作用
安全投资不足的代价
隐私优先的安全方法的好处