沒有人知道未來會出現什麼,但我可以很有把握的說,2014將被稱為「資料外洩的一年」。不過除了相互指責、推卸責任及無可避免的媒體報導外,還可以看到另一個有趣的現象:幾間被駭的公司在當時都沒有資訊安全長(CISO)。
沒有辦法可以保證你不會出現在2015年的資料外洩事件頭條上,但有個專職的網路安全專家來直接向董事會報告已經成為認真看待安全防護的組織所必不可少的事情。對於仍然缺乏此一職位的公司來說,現在就該採取行動,在2015年過去之前。
代價高昂的錯誤
現實是今日我們所要面對的不再只是待在自己家裡開發惡意程式的壞份子 — 網路犯罪有組織、資源充足並且反應迅速。黑帽駭客知道我們的弱點,準備充分地去利用任何安全間隙,好竊取我們最敏感的資料 — 無論是客戶的個人識別資訊或敏感的智慧財產。
在過去一年,有許多成功的外洩事件利用複雜的針對性攻擊技術來感染零售商的端點銷售(PoS)系統,使用著新「記憶體擷取程式」變種,像是Soraya和Backoff。令人沮喪的是,許多外洩事件是可以避免的。
想想可能產生的龐大損失,組織應該要盡可能地去降低風險 — 透過專門的資訊安全長來集中運作。
Ponemon Institute的最新資料顯示,在2014年發生資料外洩事件的平均成本為350萬美元,比前一年高出15%。而且不只是這些公司們所必須面對的可能產業或監管機構罰款、法律訴訟、甚至是調查和補救處理的費用。更令人擔心的是潛在負面消息會迫使客戶切換到競爭對手,而且對名聲的打擊也會影響到股票價格。
輸入資訊安全長
在其報告中,Ponemon指出資訊安全長是除了事件回應和危機管理計畫等之外的重要預防措施。資訊安全長可以幫助識別資訊安全風險所在,並向董事會闡明以使它們了解,好讓關鍵投資可以順利進行。
零售商Target一直都缺少資訊安全長,一直到最近這起事件發生,他們也被建議如此做。在2013年的資料外洩事件是該產業有史以來最嚴重的一次,超過4000萬筆卡號和7000萬筆客戶記錄外洩。該公司現在已經委派了資訊安全長,但代價是什麼?
下面是一些發生資料外洩事件卻沒有資訊安全長的主要組織: 繼續閱讀