網(wǎng)絡(luò)安全信息網(wǎng)站CSOOnline近日刊登了一篇題為《我們從雅虎被黑事件中學(xué)到什么》的評論文章。作者Ajay Kumar認(rèn)為，企業(yè)數(shù)據(jù)泄露對企業(yè)可能對企業(yè)產(chǎn)生毀滅性影響，企業(yè)應(yīng)該實(shí)施最高水平的網(wǎng)絡(luò)安全準(zhǔn)備。下面是文章的主要內(nèi)容。

雅虎最近的數(shù)據(jù)泄露事件讓許多企業(yè)看到，數(shù)據(jù)泄露可能會對一個(gè)公司的品牌聲譽(yù)和底線具有毀滅性的影響。這一事件使正在收購雅虎的Verizon公司要求將收購價(jià)格降低10億美元。

我們從這一事件或類似的網(wǎng)絡(luò)安全事故中學(xué)到了什么？

數(shù)據(jù)泄露會對企業(yè)造成多大的影響？根據(jù)研究機(jī)構(gòu)Ponemon Institute 的研究，數(shù)據(jù)泄露給企業(yè)造成的損失因行業(yè)而異，美國的人均損失為221美元，企業(yè)的平均損失為701萬美元。泄露的數(shù)據(jù)越多，丟失的用戶也越多。此外，企業(yè)數(shù)據(jù)泄露后的善后成本越來越高，包括售后服務(wù)活動、通信、調(diào)查、補(bǔ)救、法律支出以及監(jiān)管機(jī)構(gòu)干預(yù)措施的壓力。

當(dāng)雅虎的數(shù)據(jù)泄露被曝光時(shí)，被盜的數(shù)據(jù)已經(jīng)在黑市上被出售。像往常一樣，雅虎只是建議用戶更改密碼。然而，有一個(gè)問題仍未得到回答：為什么一個(gè)著名的互聯(lián)網(wǎng)公司需要這么長時(shí)間來發(fā)現(xiàn)數(shù)據(jù)泄露？

鑒于數(shù)據(jù)泄露事件越來越頻繁出現(xiàn)，為防御黑客的攻擊，公司需要制定一個(gè)戰(zhàn)略，以進(jìn)一步加強(qiáng)預(yù)防、檢測和綜合響應(yīng)流程，并重新考慮網(wǎng)絡(luò)安全的重要性，將網(wǎng)絡(luò)安全視為商業(yè)目標(biāo)和一個(gè)優(yōu)先事項(xiàng)。

如何將數(shù)據(jù)泄露的可能性降低至最小？你的公司現(xiàn)在能夠作出什么級別的準(zhǔn)備？

根據(jù)AT＆T / IDC最近的的全球網(wǎng)絡(luò)安全準(zhǔn)備度調(diào)查，企業(yè)的網(wǎng)絡(luò)安全準(zhǔn)備度可分為四個(gè)級別：

進(jìn)取級別：這是最高級別的安全準(zhǔn)備，公司的最高層管理人員密切關(guān)注網(wǎng)絡(luò)安全，并投資于一個(gè)全面的預(yù)防和應(yīng)對策略。

主動級別：公司的安全準(zhǔn)備水平高于平均水平，它意識到IT安全的重要性，并采取了避免數(shù)據(jù)泄露的基本防御步驟。

反應(yīng)級別：公司的安全準(zhǔn)備水平低于平均水平，其最高層管理人員對網(wǎng)絡(luò)安全性給予中等以下水平的關(guān)注，同時(shí)將網(wǎng)絡(luò)安全日常管理事物委托給IT人員。

被動級別：公司的安全準(zhǔn)備水平為最低水平。公司的最高管理層對網(wǎng)絡(luò)安全管理不干預(yù)。它們往往對大多數(shù)網(wǎng)絡(luò)攻擊毫無知覺，只有在檢測到網(wǎng)絡(luò)入侵才會采取措施。

進(jìn)取級別代表了最高水平的網(wǎng)絡(luò)安全成熟度，這種級別的公司都擁有幾項(xiàng)關(guān)鍵素質(zhì)，這些素質(zhì)可以幫助他們在今天的網(wǎng)絡(luò)安全環(huán)境中做好準(zhǔn)備。這些公司明白自己是網(wǎng)絡(luò)攻擊的目標(biāo)，這種心態(tài)使他們能夠?qū)Π踩?guī)劃和響應(yīng)采取更務(wù)實(shí)的方法。這些公司不但重視對網(wǎng)絡(luò)攻擊的檢測和反應(yīng)，也注重對網(wǎng)絡(luò)安全準(zhǔn)備的評估和診斷規(guī)劃。

此外，這些公司執(zhí)行近乎恒常的安全審查，并利用第三方服務(wù)提供商來補(bǔ)充其內(nèi)部安全團(tuán)隊(duì)的不足，彌合技術(shù)差距。這些公司將取得更好的業(yè)績，充滿信心地成長，并獲得最高水平的客戶信心。