对于数据安全问题,企业间有着很高程度对法律责任的认识,但并没有弄清楚如何通过追踪敏感数据来控制风险。该报告采访了50多个国家的476名IT专业人士,其中大部分受访者位于美国和英国。根据该报告显示,63%的企业没有完全成熟的方法来控制和追踪敏感数据。
“这意味着很多企业不知道他们的敏感数据在什么位置,谁能够访问它以及它的移动位置,”Trustwave公司高级副总裁Phil Smith表示,“这种信息类型是构建安全战略的第一步。”
如果企业不知道其敏感数据是什么及其位置,那么,企业如何可以保护这些数据呢?Smith表示,风险评估的第一部分应该是查明企业内敏感数据的位置。企业应该知道有哪些敏感数据、位置所在以及其移动的方向和谁有权访问它。
该报告还发现,虽然58%的企业使用第三方来管理敏感数据,但48%的企业实际上并没有部署第三方管理程序。
“很多企业(特别是零售业)外包支付流程到第三方供应商,让他们可以访问敏感支付卡信息,”Smith表示,“然而,他们不知道这些供应商正在如何保护其数据。”
安全支付处理的问题显得尤为重要,特别是在2014年发生了那么多零售业数据泄露事故。Smith建议企业与他们所使用的第三方供应商进行沟通,让每一方都知道自己在数据保护方面的责任。此外,他建议企业对与第三方的合同构建安全要求。
虽然企业可能无法面面俱到地保护数据,但Trustwave调查发现企业对法律责任有着很高的意识。60%的企业表示他们知道其保护敏感数据安全的法律责任。该调查发现,只有21%的企业没有任何安全意识培训,这意味着多数企业实际上有某种形式的安全培训计划。
此外,大多数受访者表明,携带自己设备到工作场所(BYOD)控制已经部署到位。只有38%的受访者指出其企业并没有任何BYOD控制。
Smith称:“仍然有很多企业没有围绕BYOD的安全政策和程序。”
补丁管理是安全企业的重要组成部分,但研究发现,58%的企业没有完全成熟的补丁管理流程。Smith指出,在很多情况下,企业专注于部署更严格的访问控制、入侵防御/检测设备和其他外围安全,而将补丁修复和维护现有系统放在较低优先级。
该研究的另一个重要发现是,董事会对企业安全的参与性很强。45%的企业都有董事会级或者高管级管理层参与了安全事务。安全是一个自上而下的问题。
“企业各阶层都应该将安全视为重点问题,从技术IT专业人员到非技术性员工和管理人员,”Smith表示,“C级高管不仅应该询问其IT团队,我们的数据安全吗?还应该问,我们的数据是如何受到保护?部署了什么控制措施?”
