信息泄露防护不是一份保险

谈起信息泄露防护,合作伙伴亦或客户中的不少朋友都会用买保险来打比方:“部署信息泄露防护,就好比买保险,图个安心。”,不知各位看官中会有几多同感。

 

这个比方粗看之下似乎很棒,然而细想,实则有诸多不妥。

 

信息泄露防护和购买保险从理论角度讲,都是对风险的处置,在讲这两者的不同前,不妨先说说风险处置。风险处置是指综合考虑企业所面临的风险的性质、大小以及企业风险承受能力和管理能力等因素,选择合适的风险管理策略和工具,对所面临的风险进行处理。处置方法主要有四种:接受风险、转移风险、降低风险和回避风险。

 

通俗一点说就是:

1、当风险较低或者处理成本对企业来说不划算时,要有意识地接受该风险,比如人吃五谷杂粮就难免遇上感冒发烧;

2、若风险难以避免或消除,可以通过购买保险、合同条款等方式将风险转移,买保险就是最常见的转移风险了;

3、应用适当的控制措施来降低风险发生的几率或者其造成的损失,比如汽车上装安全气囊、开车前系好安全带;

4、放弃某个带有高风险的行为或者计划,来避免造成损失,比如坚决不借钱给嗜赌之徒。

 

从上面的说明来看,信息泄露防护和买保险的区别已不言自明。保险可以转移风险,也就是当风险发生后降低其所带来的损失,而信息泄露防护则是降低风险发生的可能。因为信息泄露给企业带去的损失不仅仅是经济损失,更重要的是市场机遇、竞争力等的损害。这些损失不是通过补偿即能降低的,作为企业负责人,

 

他们压根不希望这样的事情发生。这也是信息泄露防护也越来越强调主动防御和预警的驱动原因。

 

既然信息泄露防护不是一份保险,如果非要打个比方,什么更合适呢?溢信想到的是汽车的防滑轮胎,因为它直接降低安全事故的发生几率,或许诸君心中已有更好的答案。

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注