向客户转嫁安全漏洞成本的做法日益增多,这可能会给CISO带来一线希望,因为价格竞争力的削弱可能会让高层管理者信服网络安全投资的回报率。
消费者在数据泄露成本不断上升方面,可能比他们意识到的要承担更多责任,因为公司越来越多地将涨价作为泄露事件后成本回收策略的一部分。
根据IBM今年早些时候的一份报告,近三分之二的公司计划将数据泄露成本直接转嫁给客户——IBM表示,这种做法正在急剧增加。
“当企业发现自己背负着数百万美元的成本时,他们可能会寻求从其他地方收回这些成本。一种选择是以涨价的形式将这些成本转嫁给自己的客户,这是一个不断上升的趋势。在已经面临定价压力的市场中提高价格是有风险的,”IBM的研究人员写道。“大多数企业表示,他们计划在数据泄露后提高商品和服务的价格,从而将成本转嫁给客户。计划这样做的企业比例从去年的57%增加到今年的63%,增长了10.5%。”
该调查没有详细说明公司计划从客户那里收回的成本百分比,而且,根据公司的客户基础和定价情况,目前尚不清楚大多数客户是否会注意到价格上涨,但NetSPI的现场CISO Nabil Hannan认为,任何转嫁的成本绝对不能对客户隐瞒。
“将这些成本转嫁给客户可能有正当理由,但你必须以透明的方式这样做。”Hannan说。
他解释说,在如今的社交媒体环境中,客户计算账单并发现涨价的风险太大。“你只需要一个(客户)——合适的那个——发现这一点,然后它就会在媒体上被大肆宣扬。”他说。
但Hannan认为,这对CISO来说可能是一线希望。许多传统的网络安全预算论点——品牌声誉、合规成本、隐私问题、数据泄露等——开始让CFO)和CEO 听众感到厌倦。
然而,成本增加并非如此,它会削弱企业的竞争地位。数据泄露成本的转嫁可能会潜在影响市场份额——这是CFO、CEO甚至董事会都会关注的事情。Hannan说,这可能会让高层管理者有理由重新考虑CISO的预算请求。
“价格上涨和竞争力削弱的潜力为CISO提供了一个有力论据,来为网络安全计划争取适当的资金,”Hannan说。“这表明不作为的成本——无论是财务成本还是声誉损害——都远远超过了强大安全计划的成本。”
IDC研究副总裁Chris Kissel强调了企业将数据泄露成本转嫁给客户的危险。
“如果他们做得过火,下次可能会失去合同,”Kissel说。“某些[高利润率]业务能够将更多这些成本转嫁给客户。例如,eBay或亚马逊永远不会将数据泄露成本转嫁给客户。将数据泄露成本转嫁给客户应该是最后的办法。”
