平衡隱私與業務風險
保護個人資料隱私和公司資源安全是企業網路安全計畫的兩大主要目標。在先前的一篇文章中,我們探討了如何在這些目標之間取得平衡,以及推行以隱私權為主導的安全策略的價值。
在本文中,我們將深入探討不進行安全性投資的風險和成本,以及安全和隱私負責人如何成為強而有力的合作夥伴,說服他們的組織相信投資於安全的重要性。當安全和隱私負責人通力合作時,他們可以找到適當的安全工具來保護組織免遭資料外洩的風險,並做出明智的決定,選擇適合企業的解決方案。
真正的危害在哪裡?
理想情況下,組織的安全和隱私負責人應該彼此密切合作。確保客戶和公司資料隱私權的最佳方法是實施有效的資料安全計畫。
隱私負責人認識到安全措施對於保護客戶資料的價值。但是,在某些情況下,安全性負責人可能很難向隱私權負責人介紹某些安全性技術的好處。如果無法清楚瞭解安全性解決方案的運作方式及其用途,則可能會對資料隱私權構成風險。例如,當安全負責人提議採用電子郵件安全工具來掃描公司的所有電子郵件以遏止網路釣魚嘗試,或使用安全 Web 閘道來允許公司的 IT 團隊查看員工在工作電腦上造訪的網站,以阻止員工造訪託管惡意程式碼的網站時,隱私負責人可能會持懷疑態度。
在考慮企業網路安全投資時,務必要考慮企業真正想要防範的隱私危害是什麼?公司隱私負責人需要權衡,一台掃描公司郵件並給出「是,善意」或「不是,惡意」的機器對公司員工隱私權造成的損害,與缺乏此類安全保護措施可能給公司帶來的損害。如果沒有這樣的保護措施,員工很容易成為網路釣魚攻擊的受害者,導致威脅行為者使用該員工的認證存取內部系統並外洩公司客戶的敏感個人資料。
我認為,深刻體認到哪些隱私危害�是組織面臨的最大風險,對於實施有效的隱私權主導型安全性至關重要。很多情況下,安全投資的收益大於潛在成本。在上面的範例中,值得注意的是,全球大多數司法管轄區的員工在傳送到公司係統的電子郵件中幾乎沒有隱私保護措施。但是,如果公司客戶的個人資料被洩露,公司可能會面臨資料外洩通知義務、監管處罰與合約損害賠償。
計算安全性投資不足的成本
企業網路安全解決方案旨在應對組織面臨的各種不同威脅。例如,一種常見威脅是潛在的資料外洩,2023 年資料外洩的平均成本高達 445 萬美元。然而,這一數字忽略了遭受資料外洩的公司聲譽受損以及資料外洩對客戶的影響。
雖然我們無法確定一個未受保護的組織在特定年份可能遭受的資料外洩數量,但我們可以估算。例如,85% 的公司在過去一年中至少遭受過一次勒索軟體攻擊,24% 的資料外洩是由勒索軟體造成的。這意味著一家公司很有可能在一年內同時遭遇勒索軟體攻擊和非勒索軟體資料外洩。
雖然這只是一個粗略的估計,但它表明,缺乏保護的公司每年的潛在成本可能高達數千萬美元,甚至更多。此外,網路安全事件對組織客戶的潛在影響更是無法估量。深入研究重大資料外洩事件的細節,您很快就會發現,大多數事件都是由一系列基礎安全問題造成的。弱密碼、過期憑證以及其他基本安全措施的缺失往往是重大安全事件的根源。能夠協助降低這些風險並防範最常見安全漏洞(例如反惡意程式碼、電子郵件掃描和 Zero Trust 存取控制)的網路安全解決方案,能夠為公司及其客戶帶來巨大的潛在利益。
投資於分層安全性系統可降低風險
在許多情況下,新安全解決方案的優勢顯而易見:它可以在一定程度上降低網路攻擊的風險。即使只是防止一次網路攻擊,也能為組織節省大量成本。從數據上看,如果網路安全解決方案的年度成本低於預期節省的成本,那麼它就是一項值得的投資。
但是,投資於合適的安全廠商非常重要。當某家廠商有權存取公司的系統和資料時,公司必須評估該廠商的安全措施是否足夠。安全廠商成為網路安全攻擊受害者的例子屢見不鮮,其客戶的系統和資料也因此面臨風險。
最近發生的 Okta 資料外洩事件是安全廠商資料外洩可能對其客戶造成潛在影響的典型案例。許多組織使用 Okta 作為身分識別提供者來實現單一登入 (SSO)。透過存取 Okta 的環境,攻擊者有可能獲得 Okta 客戶的使用者帳號存取權限。如果這些客戶沒有額外的存取保護措施,他們可能會受到駭客的攻擊,而這些駭客可能會竊取資料、植入惡意程式碼或採取其他惡意行動。
在評估安全投資的隱私權風險時,請務必考慮組織的安全追蹤記錄和憑證歷程記錄。例如,在 2020 年的年中評估中,只有 43.4% 的公司完全符合 PCI-DSS 標準,顯示許多組織在稽核間隔期間出現安全控管鬆懈的情況。
另一方面,積極爭取 ISO 27001 和 27018、SOC 2 等可選認證的公司不太可能出現這些危及自身及其客戶安全的安全漏洞。Cloudflare 始終遵守必要和可選認證,並對其 1.1.1.1 DNS 解析程式服務(未提供適用認證)進行了獨立稽核。Cloudflare 還利用端對端加密、資料當地語係化和 Zero Trust 存取管理等安全技術,最大限度地保護使用者隱私權,並遵守地區資料隱私權法規的獨特要求。
權衡風險和收益
安全投資的 ROI 可能難以計算,但其風險和收益卻是顯而易見的。薄弱的網路安全措施意味著公司遲早會遭遇資料外洩,待到事件發生後,唯一的問題只是損失的金額、聲譽損害,以及對那些將個人資料託付給公司的個人造成的後續損害的程度大小而已。
從資料隱私權和風險管理的角度來看,投資於安全性幾乎總是明智之舉。最大限度地降低安全投資的隱私權風險,可以放大其潛在的隱私效益。安全性和隱私權領域的負責人不僅擁有代價高昂的個人資料外洩和安全漏洞的證據,而且在倡導額外安全投資時,他們還可以透過尋找具有良好安全性、隱私性和合規性記錄的解決方案,進一步平衡自身利益。
隱私權主導的安全性是 Cloudflare 理念的核心。我們的信任中心體現了我們對安全與透明化的承諾,我們不僅遵守所有適用的法規與標準,更主動採取額外措施來驗證合規性。Cloudflare 的產品設計結合了我們對網路威脅情勢的獨特見解與最新安全技術,能夠識別潛在威脅,同時最大限度減少對敏感性資料的存取。讓 Cloudflare 為您實現「簡化安全部署,安全無處不在」。
Cloudflare 就影響當今技術決策者的最新趨勢和主題發表了一系列文章,本文為其中之一。
深入探討這個主題。
閱讀《為任何位置的資料提供統一保護》簡介,詳細瞭解 Cloudflare 如何支援實現更有效、更高效且更敏捷的資料保護。
作者
Emily Hancock — @emilyhancock
Cloudflare 隱私長
重點
閱讀本文後,您將能夠瞭解:
安全性與隱私權之間協同合作的重要性
安全性投資不足的成本
以隱私權為主導的安全計畫的優勢