大数据时代的合规 媒体

数据安全与企业合规

关键要点

数据至上，像 Google 和 Facebook 等科技巨头并不是唯一拥有庞大数据的公司。各行各业的企业都在尽可能收集各种数据。在不久前，数据往往只是简单的用户名和密码、信用卡信息和联系方式。但如今，企业意识到，了解客户越多，就能越有效地将数据货币化。客户的搜索查询、地理位置、人口统计信息等数据，对于寻求有价值洞察的企业来说，极为重要。

因此，既然数据是“王”，那么需要现代安全工具的骑士、重骑兵及其他保护者来维护这一“王”。数据泄露对当今企业产生了严重后果，特别是在广泛采用云服务的背景下，企业在保护云数据时面临诸多挑战。社保号码、面部识别数据及购买历史等敏感信息都处于脆弱状态，监管机构、商业伙伴以及更重要的客户将在事件发生几天后前来询问。在当今社会，数据保护已变得至关重要，安全团队必须将合规性作为首要任务。

数据泄露成本上升

数据泄露让企业损失惨重。根据 IBM 最新的年度“数据泄露成本”报告，平均每起数据泄露的成本已达到 424 万美元。一年前，这一数字为 386 万美元，IBM 指出，这一 10 的增长是过去七年里最大的单年成本增加。此外，数据泄露在医疗行业的成本更高，平均每起泄露超过 900 万美元。公共部门的数据泄露也显著上升，从 2020 年的 108 万美元增至 2021 年的 193 万美元。

合规违规的成本激增已成为数据泄露成本的重要因素。欧盟通过的 通用数据保护条例 (GDPR) 是有效规范数据隐私的重要一步。在 GDPR 下，未能有效保护数据可能导致高达 2000 万欧元或上年度全球年收入的4 的罚款以较高者为准。在美国，各州也实施了各自的数据保护法规。加利福尼亚州以《加州消费者隐私法案》(CCPA) 为先行，严重违规的公司最高可被罚款 7500 美元每条记录。考虑到数据泄露可能涉及超过 100 万条被盗记录，而法规将每条被盗记录视为“违规”，企业如不谨慎，将面临潜在的沉重罚款。

数据泄露的隐性代价

在估算数据泄露成本时，有些因素容易计算，例如支付勒索软件攻击中的赎金。而其他方面则更难量化。企业如何计算声誉损失或商业损失？在发生泄露后，采取必要措施，如调查和修复泄露源、通知潜在受害者并进行赔偿，或提起法律诉讼，既不便宜也不容易。即便一场泄露已完全修复，漏洞也已得到解决，合规性问题仍可能存在。

GDPR 和 CCPA 是针对罚款的法规，其中一些行业特定法规也同样如此，例如 HIPAA，该法规对在病人数据方面疏忽的医疗公司设定了高额罚款。然而，还需要考虑其他类型的监管要求。SOC 2 尽管并非法律强制要求，但已成为各行业企业在证明云端客户数据安全性时的行业标准。随着越来越多的企业采用 SaaS 合作伙伴，SOC 2 报告建立的信任变得至关重要。如果一家企业没有 SOC 2 报告，将对其扩张能力产生负面影响。若客户觉得某企业的安全姿态薄弱，或系统不安全，将不会与其交易，所造成