Trustwave在其2014年风险状况报告中发现了一些令人惊讶的数据安全趋势,包括大多数企业没有完全成熟的方法来控制和跟踪敏感数据。对于数据安全问题,企业具有高度的法律责任意识,但还没有想好如何通过跟踪敏感数据来控制风险。该报告采访了50多个国家/地区的476名IT专业人士,其中大多数受访者位于美国和英国。根据该报告,63%的企业没有完全成熟的方法来控制和跟踪敏感数据。“这意味着许多企业不知道他们的敏感数据在哪里,谁可以访问这些数据以及这些数据被转移到了哪里,”Trustwave高级副总裁菲尔史密斯说。“此类信息是构建安全策略的第一步。如果企业不知道敏感数据是什么以及位于何处,如何保护其敏感数据?”史密斯说,风险评估的第一部分应该确定企业内敏感数据的位置。企业应该知道那里有哪些敏感数据、数据移动的位置和方向以及谁可以访问这些数据。报告还发现,虽然58%的组织使用第三方为了管理敏感数据,48%的企业实际上没有第三方管理程序。“许多企业,尤其是零售业,将支付流程外包给第三方供应商,使他们能够访问敏感的支付卡信息,”Smith说,“但他们不知道这些供应商如何保护他们的数据。”安全支付处理2014年的问题尤为重要,尤其是在2014年零售数据泄露事件如此之多的情况下。史密斯建议企业与他们使用的第三方提供商沟通,以便每一方都了解他们的数据保护责任。此外,他建议公司将安全要求纳入与第三方的合同。虽然企业可能无法全面保护数据,但Trustwave调查发现,企业的法律责任意识很高。60%的企业表示他们知道保护敏感数据安全的法律责任。调查发现,只有21%的组织没有接受过任何安全意识培训,这意味着大多数组织实际上都有某种形式的安全培训计划。此外,大多数受访者表示,自带设备(BYOD)控制措施到位。只有38%的受访者表示他们的组织没有任何BYOD控制。“仍然有很多企业没有关于BYOD的安全政策和程序,”Smith说。“补丁管理是安全企业的重要组成部分,但研究发现,58%的企业没有完全成熟的补丁管理流程。在许多情况下,Smith指出,企业专注于部署更严格的访问控制、入侵防御/检测设备和其他周边安全,同时优先修补和维护现有系统。该研究的另一个重要发现是董事会高度参与公司安全。45%的公司有执行管理层参与安全。安全是最重要的-向下问题。史密斯说:“从技术IT专业人员到非技术员工和管理人员,安全应该是业务各个级别的优先事项。”C级高管不仅应该询问他们的IT团队,我们的数据安全吗?他们应该问,我们的数据是如何受到保护的?有哪些控制措施?”
