我们应该花多少钱来保护隐私?:数据泄露和对我们没有的信息的需求-研究论文

时间:2024-06-29 15:23:57
【文件属性】:

文件名称:我们应该花多少钱来保护隐私?:数据泄露和对我们没有的信息的需求-研究论文

文件大小:504KB

文件格式:PDF

更新时间:2024-06-29 15:23:57

data breach security

隐私的成本/收益方法面临两个权衡问题。 一种是在隐私与信息收集、分发和使用所服务的许多目标之间进行适当的权衡。 另一种方法是在防止未经授权访问信息的投资与同样需要金钱、时间和精力的各种其他目标之间进行权衡。 关于第一个权衡已经写了很多。 我们专注于第二个。 这个问题很关键。 数据泄露以每天超过 3 次的速度发生,总体社会成本极高。 令人困惑的是,安全专家长期以来一直在解释如何更好地进行防御。 那么,为什么社会会容忍它有办法避免的重大损失呢? 有些人可能会反对社会不容忍违规行为。 现行和拟议的法律提出了旨在提高信息安全性的要求。 然而,正如 Thomas Smedinghoff 所指出的,大多数法律“只是要求公司建立和维护‘合理’或‘适当’的安全措施、控制、保障措施或程序,但没有提供进一步的指导或指导。” 迄今为止,该方法未能为改善信息安全提供足够的激励。 正如一位评论员所言,“坏人基本上是去他们想去的地方,做他们想做的事,他们并没有被阻止。 也许每一个有效阻止攻击的组织,就有 100 个被攻破。” 我们认为,问题与其说是缺乏法律指导,不如说是缺乏信息。 标准的成本/收益方法在这里特别合适。 在信息安全背景下,企业应采取以下风险管理目标:选择最有效的防御,满足防御成本不大于预期(企业和相关第三方)损失的条件,从而避免(在一些适当的短期内) - 或长期)。 企业远未达到业务风险管理目标的良好近似。 应用此标准需要有关违规概率和一旦发生将造成的损失的合理准确的信息。 不幸的是,我们目前还远远没有关于这两者的足够信息。 世界经济论坛的报告描绘了一幅准确但令人不安的后果图景:“由于对所需对策的理解不足,企业越来越多地推迟采用技术创新。 . . . 一个恶性循环的结果是:随着互连呈指数级增长,关于适当准备水平的不确定性导致对保障措施的预防性投资。” 缺乏——甚至是严重缺乏——关于概率和成本的客观信息并不意味着完全无法就信息安全做出更好或更坏的决策。 人们可以求助于主观的专家判断和使用它们的各种复杂的分析技术。 AllClearID、BayDynamics、Healthguard Cyber​​ Risk Management 和 FireEye 等安全外包公司采用这种方法。 无论其优点是什么,“主观判断”方法的花费仍然远低于或远高于风险管理目标的要求。 它不是最佳投资的可靠指南。 我们认为最好的方法是通过采取措施发现充分接近风险管理目标所需的信息,将无法回答的问题变成可回答的问题。 我们认为除了发现必要信息的缓慢道路之外别无选择。 这个解决方案可能看起来非常不吸引人。 没有更快的解决办法吗? 数据泄露通知法似乎提供了这一点。 制定违规通知法至少有两个原因。 一是通知正是我们需要的信息的来源。 第二个是 - 据称 - 它们提高了安全性。 我们专注于第二个主张,我们认为这可能是错误的。 实际上,此类法律可能会使安全性变得更糟(通过将资源集中用于避免可报告的违规行为,而不是满足风险管理目标)。 违规通知法充其量只是改善风险管理的一条不确定之路。 越确定,越长,道路就是获得信息风险管理的需要。 我们主张企业强制匿名报告有关数据泄露的相关信息。


网友评论