近期,Code42(全球领先的信息安全解决方案提供商)公布了《2018数据外泄报告》,并在报告中称高管人员经常会忽视数据安全和公司政策。该提供商委托SapioResearch(市场调查服务公司)对来自美国、英国和德国的1034位安全和信息技术领导者、首席战略官(CSO)、首席技术官(CTO)、首席信息安全官(CISO)、首席信息官(CIO)以及600位首席执行官(CEO)和企业领导者对于数据丢失与恢复的态度进行了调查。其中,72%的CEO承认自己从前雇主那里获取了宝贵的知识产权。此外,有93%的CEO称自己除了将工作的副本存储在相对安全的公司服务器或云应用上之外,还将其存储在个人设备上。然而,78%的CEO一致认为知识产权仍然是企业的宝贵资产,这显示出这些高管人员言语和行为的脱节。
该报告表明员工的情绪在数据安全实践中发挥着一定的作用。此外,其还强调了企业制定实际的数据安全战略的必要性。此种战略不仅要能够解决因员工行为而引起的数据外泄方面的问题,还要重视数据泄露的预防和恢复措施。
Code42的CISO杰迪.汉森(JadeeHanson)指出,“对于一些数据安全政策而言,即使其制定的初衷是好的,但这些政策也敌不过人类的天性。了解情绪力量是如何驱动员工作出具有风险的行为表明我们朝着正确的方向又迈出了重要一步,认识那些制造数据安全漏洞的企业的言行脱节行为对于我们而言同样重要。鉴于企业遭受数据外泄威 胁的形势日益复杂,因此对此类威 胁仅仅采取预防措施是远远不够的。”
保护企业数据,贵在付诸行动
尽管许多企业通常会花费重金来预防数据丢失,但研究表明企业数据仍然易受员工违规行为的攻击,而高管层则是“罪魁祸首”。下面两点研究结果清楚地展现出高管人员言行的脱节:
● 近2/3的CEO(63%)承认自己点开了本不应该或者本不想点击的链接,从而使公司和个人的资料面临遭受恶意软件攻击的风险。
● 此外,59%的CEO承认自己下载了一些软件,而不知道这些软件是否符合公司安全性的要求。尽管多数企业领导者(77%)认为信息技术部门可能会将这种行为视作一种安全隐患,但是他们依旧“我行我素”。
玩数据捉迷藏游戏的风险
2018年,CISO的工作越来越具有挑战性。即使在那些落实了最完善的网络安全政策的组织机构中,CISO也面临着一定的挑战。而企业数据面临各种风险的原因在于数据可见性的缺失。
● 随着工作方式的灵活性不断提高以及信息数字化的不断发展,73%的安全与信息技术领导者认为一些企业数据仅存储在终端设备上。
● 71%的安全与信息技术领导者和70%的企业领导者认为,终端设备上的所有企业数据一旦丢失,这将会对企业造成致命性的打击。
● 80%的CISO认为“人们无法为肉眼看不到的东西提供保护”,但企业领导者却持不同的意见。他们(82%)认为信息技术能够为人们看不到的数据提供保护,这明显不符合实际情况。
在难以预测威 胁的环境中实施防御措施
随着企业面临的数据威 胁不断增多,遭受数据外泄的企业正通过储备加密货币的方式来支付赎金。而多数储备加密货币的企业实际上已经支付过一次赎金了。
● 64%的CISO认为他们的公司在未来12个月内将会遭受数据外泄。61%的CISO称他们的公司在过去的18个月内已经遭遇到了数据外泄。
● 网络攻击的威 胁促使73%的CISO以储备加密货币的形式向网络罪犯支付赎金。其中,79%的CISO称他们已经支付过一次赎金。
研究结果表明,企业完全没有必要通过上述方式使用加密货币资源来应对网络威 胁。如果能制定出一种包含数据可见性的、全面的数据安全战略,企业则可以更好地了解到数据外泄的情况以及发生的时间,从而更快地从数据丢失事件中恢复过来。
根治为主,预防为辅
在数据安全方面,企业领导者确实存在言行不一的行为。尽管如此,该报告还显示,在当前数据安全威 胁日益复杂的形势下,这些领导者其实明白采取多管齐下的方法的必要性。
● 多数CISO(72%)和80%的CEO认为,他们的企业必须提高自身的能力以从未来12个月内将会发生的数据外泄事件中恢复过来。
● 3/4的CISO(75%)和74%的CEO认为,他们的安全战略需要从单一的预防型转变为预防加恢复的混合型。
国际数据公司(IDC)安全产品组的研究主任罗伯.韦斯特维尔特(RobWestervelt)指出,“现在是企业恢复活力的时候了。信息技术和安全领导者以及企业高管人员需要根据实际情况武装自己,了解驱动员工工作方式的情绪力量是如何影响数据安全政策的。此外,从保护企业的角度而言,安全团队需要了解数据的来源、迁移情况以及访问者。因为数据的可见性在保护一个组织机构免遭内部和外部的威 胁方面发挥着至关重要的作用。”(编译自www.code42.com/news-releases)
