报告指出,这意味着在这项调查中的大多数企业都没能遵守Sarbanes-Oxley法案、1988英国数据保护法和欧盟数据隐私指令(违反该法案可能导致企业需要提交2%的全球收入作为罚款)。
Varonis公司战略主管David Gibson表示,很多公司在涉及数据保护时,仍然相当自满,这非常令人不安。“这意味着这些企业在遭受数据泄露事故时,将会面对很多严重的问题。事实上,监管机构(例如SEC、ICO和欧盟)可能会认为他们没有尽到义务来提供适当的安全保护措施来预防敏感数据泄露,将会除以非常高额的罚款,”他表示,“这绝对不是火箭科学,如果你存储有敏感数据,你并不是很有信心它们受到了保护,那么你就需要采取行动了。”
对于那些非常有信心其数据受到适当保护的企业,60%的企业非常自信地知道他们敏感数据存储的位置。超过40%的企业会监控所有实际访问活动,允许所有者访问所有文件夹和内部站点。此外,65%的企业会审查和撤销权限。45%的企业定期操作,而不只是当有人离开企业的时候。
那些对其企业内存储的数据的受保护情况不太自信的企业并不知道他们的数据存储在哪里(10%),没有监控所有数据访问情况(0%),并没有分配给所有者所有数据的权限(3%),以及没有定期审查和撤销访问权限。
一个有趣的统计结果是IT安全人员的信心水平,他们陷入两个极端,要么非常有信心(33%)或根本没有信心(26%)。
对于非安全工作人员,在非常有信心和其他信心水平之间的差距更加大,尤其是在访问活动监控,以及知道第三方数据存储位置方面。而相当有自信和根本没有自信方面,安全人员要比非安全人员的差距更小。
“好消息是大部分受访者报告说,他们的企业至少部分部署了数据保护的基本流程和控制,企业应该如何提高其数据保护成熟度方面,他们都有一个清晰的蓝图,”该报告总结说。
