調(diào)查:對數(shù)據(jù)價(jià)值的評估錯(cuò)誤帶來極大風(fēng)險(xiǎn)
責(zé)編:gltian |2018-12-12 13:26:15信息安全團(tuán)隊(duì)常會(huì)低估或高估數(shù)據(jù)資產(chǎn)的真正價(jià)值,令安全控制措施排序更加困難。
新調(diào)查研究顯示,很多信息安全團(tuán)隊(duì)因?yàn)殄e(cuò)誤估計(jì)企業(yè)信息資產(chǎn)的真正價(jià)值而削弱了數(shù)據(jù)可用性與安全性。
波耐蒙研究所受文檔安全供應(yīng)商DocAuthority委托執(zhí)行了一項(xiàng)調(diào)查研究。共有2,820名來自7個(gè)不同職能領(lǐng)域的專業(yè)人士接受了調(diào)查。這些來自IT安全、產(chǎn)品與制造、法律、市場、IT、財(cái)務(wù)與會(huì)計(jì),以及人力資源的專業(yè)人士被要求就36類信息給出每條記錄的價(jià)值評估。信息類型包括研究與開發(fā)文檔、源代碼、客戶記錄、并購數(shù)據(jù)和個(gè)人可識(shí)別信息(PII)。
結(jié)果顯示,IT部門高估了特定信息類型的價(jià)值,比如PII;同時(shí)嚴(yán)重低估了其他信息的價(jià)值,比如財(cái)務(wù)報(bào)告和研發(fā)數(shù)據(jù)。總體上,IT安全部門給出的數(shù)據(jù)資產(chǎn)價(jià)值比數(shù)據(jù)擁有者給出的要低50%。
比如說,IT安全部門估計(jì)重建研發(fā)文檔會(huì)耗費(fèi)公司30萬美元左右;而研發(fā)部門則估計(jì)該耗費(fèi)在70萬美元左右。類似的,財(cái)務(wù)報(bào)告泄露在IT安全人員眼里價(jià)值13萬美元,而在會(huì)計(jì)和財(cái)務(wù)人員眼中就是30萬美元。
相反,安全人員過于高估特定類型數(shù)據(jù)的價(jià)值。比如員工月公司列表在安全團(tuán)隊(duì)看來價(jià)值9.4萬美元,而HR眼中此類信息價(jià)值僅為5.8萬美元。
這種數(shù)據(jù)價(jià)值認(rèn)知上的差距關(guān)系重大,因?yàn)闀?huì)影響到安全公司保護(hù)不同類型數(shù)據(jù)和讓這些數(shù)據(jù)在企業(yè)中有效流轉(zhuǎn)和存儲(chǔ)的方式。錯(cuò)誤的數(shù)據(jù)價(jià)值評估可能會(huì)帶來錯(cuò)誤的安全控制措施實(shí)現(xiàn)。
目前IT安全團(tuán)隊(duì)和業(yè)務(wù)部門對業(yè)務(wù)數(shù)據(jù)價(jià)值的認(rèn)知大為不同。IT安全人員看待數(shù)據(jù)價(jià)值的角度與業(yè)務(wù)人員并不一致。
很多安全公司采用靜態(tài)分類方案應(yīng)用數(shù)據(jù)安全及訪問控制。DocAuthority的調(diào)查研究揭示我們需要更為細(xì)致入微的方法來處理企業(yè)數(shù)據(jù)資產(chǎn)。
信息資產(chǎn)類型不同則價(jià)值各異。一些數(shù)據(jù)集,比如研發(fā)數(shù)據(jù)、定價(jià)模型、源代碼、并購文檔和已簽署的就業(yè)協(xié)議等,對公司的價(jià)值就比產(chǎn)品制造與工程工作流、已簽署客戶合同、預(yù)算及會(huì)計(jì)數(shù)據(jù)和網(wǎng)絡(luò)設(shè)計(jì)文檔等其他數(shù)據(jù)資產(chǎn)大得多。
某些類型的數(shù)據(jù),其價(jià)值因相關(guān)性的降低而隨時(shí)間減少。比如制造部門的研發(fā)文檔,如果是1年以內(nèi)的,其價(jià)值超過87萬美元;而同樣的數(shù)據(jù),1年之后價(jià)值就銳減到49萬美元了。
類似的,1年以內(nèi)的新鮮法律文件價(jià)值51萬美元,1年以上的只有12萬美元。
重建數(shù)據(jù)和處理數(shù)據(jù)泄露后果的開銷也隨數(shù)據(jù)類型和職能部門而不同。對市場營銷人員而言,定價(jià)模型和客戶列表是重建花費(fèi)最高的數(shù)據(jù)類型;對人力資源部門而言,退休金數(shù)據(jù)才是最值錢的。
與之類似,涉及研發(fā)文檔的數(shù)據(jù)泄露會(huì)讓公司損失66萬美元,而涉及產(chǎn)品制造工作流的數(shù)據(jù)泄露價(jià)值11萬美元,差距甚大。有趣的是,不同業(yè)務(wù)用戶對不同數(shù)據(jù)類型給出的價(jià)值評估在垂直行業(yè)內(nèi)和相同地域上或多或少地保持了一致。
數(shù)據(jù)顯示,公司企業(yè)需將數(shù)據(jù)當(dāng)成資產(chǎn)而不僅僅是一種責(zé)任來管理。IT安全團(tuán)隊(duì)需考慮基于用例、新舊、重建成本、遺失或被盜代價(jià)來給不同數(shù)據(jù)類型賦予不同的數(shù)據(jù)價(jià)值。
DocAuthority調(diào)查鏈接:
https://info.docauthority.com/ponemon-report?utm_source=pr_press_release
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營
- MirageFlow:一種針對Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢展望
- 國家互聯(lián)網(wǎng)信息辦公室發(fā)布《國家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國終止運(yùn)營:辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空
- 25年一直未變!網(wǎng)絡(luò)安全永恒的“十大法則”
- 關(guān)于征集數(shù)據(jù)安全評估標(biāo)準(zhǔn)化應(yīng)用實(shí)踐案例的通知
- ISC.AI 2025主題前瞻:ALL IN AGENT,全面擁抱智能體時(shí)代!