報告稱大多數企業沒有正確保護敏感數據
Trustwave 在 2014 年風險狀態報告中發現一些令人驚訝的數據安全趨勢,其中包括大多數企業沒有完全成熟的方法來控制和追蹤敏感數據。
對於數據安全問題,企業之間有高度的法律認識,但並沒有弄清楚如何通過追蹤敏感數據來控制風險。該報告採訪了 50 多個國家的 476 名 IT 專業人士,其中大部分受訪者位於美國和英國。根據該報告顯示,63% 的企業沒有完全成熟的方法來控制和追蹤敏感數據。
Trustwave 公司高級副總裁 Phil Smith 表示,這意味著很多企業不知道他們的敏感數據在什麼位置,誰能夠存取它以及它的移動位置,這種信息類型是構建安全戰略的第一步。
如果企業不知道其敏感數據是什麼及其位置,那麼,企業如何可以保護這些數據呢? Smith 指出風險評估的第一部分應該是查明企業內敏感數據的位置。企業應該知道有哪些敏感數據、位置所在以及其移動的方向和誰有權存取它。
該報告還發現,雖然 58% 的企業使用第三方來管理敏感數據,但 48% 的企業實際上並沒有部署第三方管理程序。
Smith 表示很多企業(特別是零售業)外判支付流程到第三方供應商,讓他們可以存取敏感信息,然而,他們不知道這些供應商如何保護其數據。
安全支付處理的問題顯得特別重要,其因在 2014 年發生了不少零售業數據洩露事故。Smith 建議企業與他們所使用的第三方供應商進行溝通,讓每一方都知道自己在數據保護方面的責任。此外,企業應與第三方供應商一起構建安全要求。
雖然企業可能無法全面保護數據,但 Trustwave 調查發現企業對法律責任有很高的意識,60% 的企業表示他們知道其保護敏感數據安全的法律責任。該調查發現,只有 21% 的企業沒有任何安全意識培訓,這意味著許多企業有某種形式的安全培訓計劃。
此外,大多數受訪者表明,BYOD 已經部署。只有 38% 的受訪者指出其企業並沒有任何 BYOD 方案。但 Smith 稱仍然有很多企業沒有就 BYOD 定立安全政策和程序。
補丁管理是安全的重要部分,但研究發現,58% 的企業沒有完全成熟的補丁管理流程。Smith 指出在很多的情況下,企業專注於部署更嚴格的存取控制、入侵防禦、檢測裝置和其他外圍安全,而將補丁修復和維護現有系統放在較低的優先次序。
該研究的另一個重要發現是,董事會對企業安全的參與性很強。45% 的企業都有董事會級或者高級管理層參與安全事務,因為安全是一個自上而下的問題。
Smith 表示企業各階層都應該將安全視為重點問題,從技術 IT 專業人員到非技術性員工和管理人員,高級人員不僅應該詢問其 IT 團隊,我們的數據安全嗎?還應該問,我們的數據是如何受到保護?部署了什麼控制措施?