信息安全团队常会低估或高估数据资产的真正价值,令安全控制措施排序更加困难。
新调查研究显示,很多信息安全团队因为错误估计企业信息资产的真正价值而削弱了数据可用性与安全性。
波耐蒙研究所受文档安全供应商DocAuthority委托执行了一项调查研究。共有2,820名来自7个不同职能领域的专业人士接受了调查。这些来自IT安全、产品与制造、法律、市场、IT、财务与会计,以及人力资源的专业人士被要求就36类信息给出每条记录的价值评估。信息类型包括研究与开发文档、源代码、客户记录、并购数据和个人可识别信息(PII)。
结果显示,IT部门高估了特定信息类型的价值,比如PII;同时严重低估了其他信息的价值,比如财务报告和研发数据。总体上,IT安全部门给出的数据资产价值比数据拥有者给出的要低50%。
比如说,IT安全部门估计重建研发文档会耗费公司30万美元左右;而研发部门则估计该耗费在70万美元左右。类似的,财务报告泄露在IT安全人员眼里价值13万美元,而在会计和财务人员眼中就是30万美元。
相反,安全人员过于高估特定类型数据的价值。比如员工月公司列表在安全团队看来价值9.4万美元,而HR眼中此类信息价值仅为5.8万美元。
这种数据价值认知上的差距关系重大,因为会影响到安全公司保护不同类型数据和让这些数据在企业中有效流转和存储的方式。错误的数据价值评估可能会带来错误的安全控制措施实现。
目前IT安全团队和业务部门对业务数据价值的认知大为不同。IT安全人员看待数据价值的角度与业务人员并不一致。
很多安全公司采用静态分类方案应用数据安全及访问控制。DocAuthority的调查研究揭示我们需要更为细致入微的方法来处理企业数据资产。
信息资产类型不同则价值各异。一些数据集,比如研发数据、定价模型、源代码、并购文档和已签署的就业协议等,对公司的价值就比产品制造与工程工作流、已签署客户合同、预算及会计数据和网络设计文档等其他数据资产大得多。
某些类型的数据,其价值因相关性的降低而随时间减少。比如制造部门的研发文档,如果是1年以内的,其价值超过87万美元;而同样的数据,1年之后价值就锐减到49万美元了。
类似的,1年以内的新鲜法律文件价值51万美元,1年以上的只有12万美元。
重建数据和处理数据泄露后果的开销也随数据类型和职能部门而不同。对市场营销人员而言,定价模型和客户列表是重建花费最高的数据类型;对人力资源部门而言,退休金数据才是最值钱的。
与之类似,涉及研发文档的数据泄露会让公司损失66万美元,而涉及产品制造工作流的数据泄露价值11万美元,差距甚大。有趣的是,不同业务用户对不同数据类型给出的价值评估在垂直行业内和相同地域上或多或少地保持了一致。
数据显示,公司企业需将数据当成资产而不仅仅是一种责任来管理。IT安全团队需考虑基于用例、新旧、重建成本、遗失或被盗代价来给不同数据类型赋予不同的数据价值。