報(bào)告稱大多數(shù)企業(yè)沒(méi)有正確保護(hù)敏感數(shù)據(jù)
責(zé)編:admin |2014-12-18 16:33:21Trustwave在其2014年風(fēng)險(xiǎn)狀態(tài)報(bào)告發(fā)現(xiàn)了一些令人驚訝的數(shù)據(jù)安全趨勢(shì),其中包括這樣的事實(shí),即大多數(shù)企業(yè)沒(méi)有完全成熟的方法來(lái)控制和追蹤敏感數(shù)據(jù)。
對(duì)于數(shù)據(jù)安全問(wèn)題,企業(yè)間有著很高程度對(duì)法律責(zé)任的認(rèn)識(shí),但并沒(méi)有弄清楚如何通過(guò)追蹤敏感數(shù)據(jù)來(lái)控制風(fēng)險(xiǎn)。該報(bào)告采訪了50多個(gè)國(guó)家的476名IT專業(yè)人士,其中大部分受訪者位于美國(guó)和英國(guó)。根據(jù)該報(bào)告顯示,63%的企業(yè)沒(méi)有完全成熟的方法來(lái)控制和追蹤敏感數(shù)據(jù)。
“這意味著很多企業(yè)不知道他們的敏感數(shù)據(jù)在什么位置,誰(shuí)能夠訪問(wèn)它以及它的移動(dòng)位置,”Trustwave公司高級(jí)副總裁Phil Smith表示,“這種信息類型是構(gòu)建安全戰(zhàn)略的第一步。”
如果企業(yè)不知道其敏感數(shù)據(jù)是什么及其位置,那么,企業(yè)如何可以保護(hù)這些數(shù)據(jù)呢?Smith表示,風(fēng)險(xiǎn)評(píng)估的第一部分應(yīng)該是查明企業(yè)內(nèi)敏感數(shù)據(jù)的位置。企業(yè)應(yīng)該知道有哪些敏感數(shù)據(jù)、位置所在以及其移動(dòng)的方向和誰(shuí)有權(quán)訪問(wèn)它。
該報(bào)告還發(fā)現(xiàn),雖然58%的企業(yè)使用第三方來(lái)管理敏感數(shù)據(jù),但48%的企業(yè)實(shí)際上并沒(méi)有部署第三方管理程序。
“很多企業(yè)(特別是零售業(yè))外包支付流程到第三方供應(yīng)商,讓他們可以訪問(wèn)敏感支付卡信息,”Smith表示,“然而,他們不知道這些供應(yīng)商正在如何保護(hù)其數(shù)據(jù)。”
安全支付處理的問(wèn)題顯得尤為重要,特別是在2014年發(fā)生了那么多零售業(yè)數(shù)據(jù)泄露事故。Smith建議企業(yè)與他們所使用的第三方供應(yīng)商進(jìn)行溝通,讓每一方都知道自己在數(shù)據(jù)保護(hù)方面的責(zé)任。此外,他建議企業(yè)對(duì)與第三方的合同構(gòu)建安全要求。
雖然企業(yè)可能無(wú)法面面俱到地保護(hù)數(shù)據(jù),但Trustwave調(diào)查發(fā)現(xiàn)企業(yè)對(duì)法律責(zé)任有著很高的意識(shí)。60%的企業(yè)表示他們知道其保護(hù)敏感數(shù)據(jù)安全的法律責(zé)任。該調(diào)查發(fā)現(xiàn),只有21%的企業(yè)沒(méi)有任何安全意識(shí)培訓(xùn),這意味著多數(shù)企業(yè)實(shí)際上有某種形式的安全培訓(xùn)計(jì)劃。
此外,大多數(shù)受訪者表明,攜帶自己設(shè)備到工作場(chǎng)所(BYOD)控制已經(jīng)部署到位。只有38%的受訪者指出其企業(yè)并沒(méi)有任何BYOD控制。
Smith稱:“仍然有很多企業(yè)沒(méi)有圍繞BYOD的安全政策和程序。”
補(bǔ)丁管理是安全企業(yè)的重要組成部分,但研究發(fā)現(xiàn),58%的企業(yè)沒(méi)有完全成熟的補(bǔ)丁管理流程。Smith指出,在很多情況下,企業(yè)專注于部署更嚴(yán)格的訪問(wèn)控制、入侵防御/檢測(cè)設(shè)備和其他外圍安全,而將補(bǔ)丁修復(fù)和維護(hù)現(xiàn)有系統(tǒng)放在較低優(yōu)先級(jí)。
該研究的另一個(gè)重要發(fā)現(xiàn)是,董事會(huì)對(duì)企業(yè)安全的參與性很強(qiáng)。45%的企業(yè)都有董事會(huì)級(jí)或者高管級(jí)管理層參與了安全事務(wù)。安全是一個(gè)自上而下的問(wèn)題。
“企業(yè)各階層都應(yīng)該將安全視為重點(diǎn)問(wèn)題,從技術(shù)IT專業(yè)人員到非技術(shù)性員工和管理人員,”Smith表示,“C級(jí)高管不僅應(yīng)該詢問(wèn)其IT團(tuán)隊(duì),我們的數(shù)據(jù)安全嗎?還應(yīng)該問(wèn),我們的數(shù)據(jù)是如何受到保護(hù)?部署了什么控制措施?”
- MH-Net:基于多視角異構(gòu)圖的加密流量分類方法
- 2025年度網(wǎng)絡(luò)空間安全領(lǐng)域十大科學(xué)挑戰(zhàn)問(wèn)題發(fā)布
- 分析:Palo Alto收購(gòu)CyberArk的利與弊
- 周鴻祎領(lǐng)銜!百所高校+企業(yè)組團(tuán)亮相ISC.AI 2025“紅衣課堂”
- 港科大發(fā)布大模型越獄攻擊評(píng)估基準(zhǔn),覆蓋6大類別37種方法
- 引領(lǐng)智能運(yùn)維!全新FortiAIOps 3.0重新定義IT運(yùn)營(yíng)
- MirageFlow:一種針對(duì)Tor的新型帶寬膨脹攻擊
- 英偉達(dá)約談事件的制度邏輯與趨勢(shì)展望
- 國(guó)家互聯(lián)網(wǎng)信息辦公室發(fā)布《國(guó)家信息化發(fā)展報(bào)告(2024年)》
- 火狐中國(guó)終止運(yùn)營(yíng):辦公地?zé)o人,用戶賬號(hào)數(shù)據(jù)面臨清空