长期持有的观点是,违反的企业是由消费者,投资者和股东唾弃。若违反不只是一个临时故障 - 这是一个错误,失礼,你不能只是摆脱。
这一警告在过去五年中被信息安全专业人员使用,并有充分的理由;没有什么比“这是在给我们赔钱”更能引起首席执行官或首席财务官对安全问题的关注了。
然而,仔细观察,可以认为,这种声誉的说法是一个谎言。
在过去18个月的过程中,我们已经看到了一些最大,最广泛,数据泄露在互联网的历史。
目标通过在2013年(40万个信用卡记录被窃取)及其第三方空调供应商受到损害;索尼影视娱乐由民族国家,据称黑客攻击,造成一部人未发行的电影,另一个推迟,并张贴在引擎收录敏感TB数据的发布。再就是一直国歌,JP摩根,OPM,西尔斯和谈话谈话仅举影响数以百万计的人一些其他的违规行为。
如今,入侵事件每天都在发生,但企业本身似乎不为所动。
消费者信得过经常损坏
有一件事是清楚的;数据泄露是一场公关和财务灾难。公司经常发现入侵太迟,反应不充分,导致(临时)销售下降和记者的愤怒。
客户为一体,往往会用脚投票。英国防欺诈公司Semafone去年发现,绝大多数人都不会与被违反公司做业务,特别是如果它未能保护客户的卡中的数据。在调查中,通过Onepoll的进行,2000名受访者百分之86.55表示,他们“根本不可能”或“不太可能”与遭受了涉及信用卡或借记卡信息数据泄漏的组织做生意。这些数字都略有降低,如果家庭和电子邮件地址和电话号码已经遗失。
Semafone首席执行官蒂姆•克里奇利(Tim Critchley)表示:“这些数据突显了我们本应知道的事实:未能保护个人数据的公司所遭受的声誉损害,可能直接导致业务亏损。”
蒂姆·克里奇利,Semafone的CEO
的确,客户忠诚度受损是在发生违约的情况下造成的,而且销售额确实大幅下滑。Target的销售额在2013年第四季度同比下降了46%,降至5.2亿美元(合每股81美分),而eBay(2014年年中突破)承认用户活动下降影响了其季度净收入。
还需要承担其他财务成本,包括额外的安全(笔会测试人员、顾问、安全供应商、PRs和律师)、诉讼和数据保护部门的罚款。
这就是说,它可以说是很大的,成立的公司有信心,他们可以骑在过去的罚款和收费,并保持他们的客户保持。英国TalkTalk公司甚至被一些客户签订合同 - 尽管有改善的包 - 在此基础上。
要添加到这一点,有一种理论认为股票最终恢复,视图由肖恩·梅森,在思科安全服务的威胁管理主管,谁曾声称有一名男子备份“揭穿的神话,违反重大影响股价。”
他有一个点。例如,家得宝的数据泄露,看到的妥协6500万年客户的信用卡和借记卡账户,锯违反相关的成本都在身边$ 62万。一周公司的股票价格下降最小的消息公布后,但在2014年第三季度的家得宝表现出了每股收益增长21%
目标的突破口,在超过100万个客户记录丢失高潮,看到了零售商的库存下降之后10%。但在二月的零售商经历了它的比例最高股价在五年内恢复。
还有其他值得注意的例子;2014年,索尼影视娱乐公司(Sony Pictures Entertainment)被宣布违规后,其股价持续上涨,而摩根大通(JP Morgan Chase)的股价在违规后保持稳定,之后不久又上涨。EBay在3月21日被攻破后,收报51.88美元,一年后涨到了59.74美元。
新闻国际(News International)前首席信息官、Give01Day网站创始人阿马尔•辛格(Amar Singh)表示社会网络这是因为入侵不会产生长期影响:“老实说,网络攻击不会对生活造成影响。首席执行官和首席财务官不是白痴……但除非(违约)真的影响到“现实”生活,否则组织不会在意。你的数据就是我的数据——都是虚拟的。文化变革是必要的,但遗憾的是,你仍然可以(安然度过)。”
声誉损害是真实存在的
不过,对声誉的损害则有不同的看法。InfoSec的人基本上都同意突破底线的影响,但如果管理得当并作出适当的反应,它就可以成为正常的业务(BAU)。股票价格回升,股东得到了安抚。数据保护机构可以保持距离。
但是,问他们是否有做得更长,更无形的品牌损害,这是一个很难打电话。
今年早些时候,波耐蒙研究所的大规模数据泄露的后果:消费者情绪他透露,数据泄露与糟糕的客户服务和影响品牌声誉的环境灾难有关。
在其他地方,《福布斯观察》的报告《后果:IT风险的声誉影响》指出,46%的组织因信息泄露而声誉和品牌价值受损。另有19%的组织由于第三方安全漏洞或IT系统故障而遭受声誉和品牌损害。
咨询公司KnewSmart的董事总经理、曾在Sensepost和NCC任职的简•弗兰克兰(Jane Frankland)表示,这样的数据突显了品牌和企业声誉的重要性,“以及如果处理不当可能造成的破坏”。
埃德·华莱士,在水利部InfoSecurity高级威胁总监,同意后者的观点,但认为是违反意料之中的课程的公司。
“目前正在突破,总的来说,不会影响你的声誉。当然也有一些例外。但是,如何管理漏洞会影响你的声誉,这是一个非常不同的事情。”
辛格采取更强硬的态度:”“索尼没有破产,他们还在运营,塔吉特也还在……小公司也不相信,但破产的公司比大公司还多。”
“现实情况是,没有公认的公式来衡量‘品牌声誉’,”思科的梅森补充说。“品牌价值通常被认为是一些无形的数据点,反映出消费者对品牌的感受,以及他们会考虑比竞争对手多支付多少溢价——这与金钱损失真的没有关系。”
弗兰克兰认为,企业正在觉醒,但这需要良好的CISO首席执行官通信。
组织必须保护他们的企业声誉,因为商业道德和治理越来越受到重视。此外,消费者、投资者、合作伙伴、员工和股东都要求组织对他们的行为负责。企业声誉很重要。
良好的企业声誉是一项宝贵的无形资产。它在吸引最优秀的人才、供应商和投资方面发挥着至关重要的作用。最优秀的人才将接受工作,供应商将通过与他们信任的合作伙伴合作来降低合同风险,财务分析师将声誉指标作为投资标准的一部分。
专家们一致认为,这必须告知首席执行官,弗兰克兰特别强调责任在CISO的肩上。
“什么C-水平从CISO需要的是一个风险指标,并在成本方面的值。他们想了解他们的责任将是什么,如果这样的事件都发生。首席信息安全官需要能够给C级高管在这一个明确的答案,但往往很难作为资产登记失踪,数字足迹是未知的,风险模型很复杂,要求形式是可疑的。
“这也不仅仅是一个反应和声誉损害成本或法律和合同罚款的案件。在某些情况下,这是所有这些加上更多,一个组织可能会被压垮。在另一些情况下,情况可能没有公司想的那么糟。”
积极应对,将损失降到最低
很明显,违规行为确实会导致信任受损,在一定程度上损害品牌声誉和底线。塔吉特和摩根大通承诺在安全问题上再投入1亿美元和5亿美元,而塔吉特还必须向发卡机构支付费用,并损失了2.36亿美元的漏洞相关成本(其中9,000万美元被保险公司抵消)。
专家们认为,如果对违规行为做出适当的回应,这种成本——以及品牌损害——可以显著降低。
Frankland说:“一个组织可以通过采取适当的行动来减少影响。”“例如,一个组织可以确保它有一个事件响应计划;危机管理计划,对所有发言人进行全面的媒体培训,以及进行军事演习以测试应变能力。”
梅森说:“违约发生之前,你应该有你的人员和流程明确了。如果当违约真的发生,确保您根据需要沟通,尽快如实地。”
华莱士说,回应是至关重要的,特别是有了像这样的新法律欧盟GDPR推动企业上报违规行为 - 或将面临罚款。其他专家,包括律师,呼吁的内部沟通,管理,公关及监管和诉讼专家之间就被攻破打交道时加入。
这篇文章,“数据泄露真的会影响你公司的声誉吗?方案 。