|
大数据时代企业信息安全的投资报酬率 原作:龚蕾
昨天,美国互联网公司雅虎在一份声明表示,至少有5亿用户的信息在2014年遭黑客盗取,这创造了史上最大网站信息遭窃的纪录。雅虎公司信息安全部门鲍勃表示,用户姓名、电子邮箱、电话号码等信息可能泄露,但最大影响可能是雅虎公司本身。 大数据时代,网站数量越来越多,用户越来越多,数据信息安全的投资回报率或上升,无论从法律层面、道德层面、大数据时代对信息安全更需要很好地保护与安全措施,用户信息,企业网站信息,安全技术不断提升,投资者也意识并增加信息安全领域的投资。 财报分析中,常常用到一个概念叫做投资报酬率,即投资回报率,投资回报率指通过投资而应返回的价值,即企业从一项投资活动中得到的经济回报,投资分为实体与金融,一般说的金融投资是指证券投资,企业通过投资回报率来帮助决策。如今,许多网络公司或信息部门也在使用投资回报率,信息安全部门也在考虑投资回报率,并用建立经济模型的方式来分析信息安全的投资回报率。 雅虎公司的信息安全部门在今年八月,一个黑客在网络论坛索价3个比特币出售雅虎用户信息,雅虎公司发现在调查安全系统过程中的数据被盗,随着调查深入,资料账户增至5亿,早在2012年雅虎就曾遭遇过一次信息泄露,去年雅虎公司成立了一个专门项目来检测并通知用户安全状况。 对于信息安全讨论也在逐渐升温,投资回报率能反映综合盈利能力,而对于公司的网络安全部门来说,信息安全也具有投资报酬率,我们也可试着建立一个经济模型,对信息安全做投资报酬率评估: (一)从需求出发。 首先,了解企业需求,了解用户需求,了解市场需求。如雅虎公司用户信息,包括个人姓名信息、电子邮件、电话号码、生日信息等,不包括信用卡数据、未受保护的密码,支付卡数据或银行账户信息,从信息可能泄露的风险概率考虑,了解信息安全需求,通过一系列问卷或企业信息安全需求,企业需要保护哪些信息,采取哪些措施,通过升级的技术或用户使用方式升级等,提升信息安全度。 (二)建立成本模型与分析。 弄清楚企业或用户的信息安全需求后,建立一个成本模型,信息安全预期投资多少,成本至少有多少,才能够保护信息的安全,使得用户信息或企业信息不会轻易地被黑客盗取,技术角度或用户使用方式,账户安全如何增加安全服务保护,比如企业邮件服务器,服务器设备本身更新升级,用户使用界面的安全保护措施,通过成本分析模型把各项指标细分并赋予权重,把每一个指标量化。 今年八月份,雅虎公司发现了用户数据信息泄露,一名网站黑客试图通过出售2亿个雅虎账户信息,每份雅虎用户数据资料标价为3比特币,约合1860美元。信息安全部门需要了解黑客如何获得了用户信息,并围绕可能的风险,采取措施来对信息进行安全保护,若是服务器出了问题,更新服务器成本至少多少,若是技术有漏洞,补漏洞至少的成本,若是用户使用不规范,那么公司及时告知用户更加规范科学的使用方式,以对企业与用户信息做安全保护,把各种成本指标量化计算加总,进行信息安全投资的成本分析。 (三)期望与方差的评估模板。 运用统计学方法,分析信息安全投资的期望与方差,计算可能的发生概率,降低可能被黑客窃取的概率,对数据分层取样,对建立模型进行数据评估,调整投资成本,对比不同方式的成本与投资回报率,用于一次性投资的投资回报率,用于几次分批投资的报酬率。 (四)辅助信息安全决策流程。 了解好需求,成本分析,建立模型,数据分析后,帮助企业信息安全决策流程,企业的信息技术部门在分析了信息安全量化分析与投资回报率后,开始对信息安全投资过程中,提升安全技术,专攻那些比较薄弱的环节,以最少投资获得最高的报酬率。 (五)不断改进与完善。 基于成本、投资、收益、信息安全度提升,时间期限内达到的预期效果,在技术安全与投资回报权衡中,做出最佳的信息安全投资。一旦公司发现了信息泄露,越早及时发现越好,越早告诉用户越好。建立信息安全投资报酬模型后,不断改进与完善,通过不断升级技术与用户的及时沟通,把风险损失降低到最低,大数据时代,不断提升信息安全投资回报率。
(以上仅代表笔者个人一点儿不全不足想法,欢迎指导欢迎交流。)
|
|
|
