据Ponemon研究院2011年的数据泄漏成本年度报告称，与数据泄漏相关的成本近七年来首次下降，这可能是企业更好地规划安全布局以及启用强有力的安全领导层所取得的成果。

企业数据泄漏的成本以及每起丢失或失窃记录的费用已经下降。根据报告，企业的成本从2010年的720万美元骤降到2011年的550万美元。与此同时，每起丢失记录的成本从2010年的每笔记录214美元下降到194美元，丢失涉及到的数据是那些在数据泄漏事件中受到危害的可辨别个人信息。该研究排除10万多条已经记录在案的数据泄漏事件，避免其影响结果的准确性。

今年该报告由赛门铁克公司委托进行，分析了在美国发生的49起数据泄漏事件的企业成本，发现少数的客户感到不满意并且远离损失他们个人信息的企业。Ponemon研究院的创始人和主席Larry Ponemon表明，客户流失更少，流失率下降到大约18%，这可能意味着“人们对于整个事态已经麻木了”。

Ponemon说到，“或许一些人认为他们是无能为力的，所以担忧其它事情”。

Ponemon研究院的分析报告审视与数据泄漏相关的直接和间接的费用。它考虑到取证专家的参与，外包热线技术支持，提供免费的信用卡监控订阅以及未来的产品及服务打折的费用。它还审视与IT响应及通信相关的间接成本。

Ponemon研究院表示，正确地执行正式的事故响应规划，以及在领导层位置有人员或CISO来领导响应活动，而且推动安全融入企业文化的企业，似乎能限制数据泄漏事件的负面影响。该报告发现配有CISO的组织每条入侵记录能减少35%的成本。聘请一名外部顾问来帮助处理数据泄漏事件也能减少成本。

“这都事关企业的治理以及它如何解决数据保护和隐私问题”，Ponemon说。“企业可能已经拥有一名安全领导。我们了解到拥有CISO的公司与没有的在公司文化上是不同的”。

该研究结果还发现，组织需要在发出数据泄漏通告前彻底地进行评估。响应过于迅速的组织通常通告了太多可能是潜在受害者的人，从而增加了每条记录上花费的成本。Ponemon表明41%的组织在彻底地调查事故以后，在30天或是更短时间内通告受害人。“迅速的响应导致更高的成本”，他说到，“有条理和针对性地辨识谁处于风险之中能够减少成本”。

Ponemon注意到安全技术也是数据泄漏事件成本下降的一个因素。能辨别敏感数据并且随后监控泄漏的数据防泄漏（DLP）技术能减少数据泄漏的范围，Ponemon表示。此外，看起来组织正在围绕信用卡数据和可辨识个人信息（personally identifiable information，PII）部署更为强大的认证、双因子认证、加密和标记化（tokenization）技术，Ponemon说到。

Ponemon研究院的研究表明，雇员的工作疏忽是数据泄漏事件的根源。39%的组织发生数据泄漏事件是由于移动设备丢失或被偷窃，包括有保密及敏感信息的便携电脑、智能手机、平板电脑和USB驱动器。只有18个企业、或是37%的事件显示数据泄漏是出自恶意的内部人员或黑客之手。

Ponemon公司表示大部分的数据泄漏事件通常涉及到针对公司的恶意行为，而不是玩忽职守或系统差错。

在报告的其它发现中，有41%的企业数据泄漏事件是由于第三方造成的，也就是说某些公司对于他们的合作伙伴的安全流程知之甚少，Ponemon谈到。

在那些数据泄漏表明是恶意内部人员或黑客结果的18个组织中，至少有一半涉及到使用恶意软件。33%的企业发生过内部人员犯罪，例如行为不端的雇员或是合同商。Ponemon注意到企业正在部署更好的技术来侦测异常事件，辨识并阻挡攻击，或是在其成为严重的问题前缓解该影响。

“我们认为恶意攻击发生的频率正在提高、并且公司更加擅长侦测这些攻击”，Ponemon谈到，“他们在辨识根源方面也变得更加明智”。