Trustwave在其2014年風(fēng)險(xiǎn)狀態(tài)報(bào)告發(fā)現(xiàn)了一些令人驚訝的數(shù)據(jù)安全趨勢，其中包括這樣的事實(shí)，即大多數(shù)企業(yè)沒有完全成熟的方法來控制和追蹤敏感數(shù)據(jù)。

對于數(shù)據(jù)安全問題，企業(yè)間有著很高程度對法律責(zé)任的認(rèn)識，但并沒有弄清楚如何通過追蹤敏感數(shù)據(jù)來控制風(fēng)險(xiǎn)。該報(bào)告采訪了50多個(gè)國家的476名IT專業(yè)人士，其中大部分受訪者位于美國和英國。根據(jù)該報(bào)告顯示，63%的企業(yè)沒有完全成熟的方法來控制和追蹤敏感數(shù)據(jù)。

“這意味著很多企業(yè)不知道他們的敏感數(shù)據(jù)在什么位置，誰能夠訪問它以及它的移動(dòng)位置，”Trustwave公司高級副總裁Phil Smith表示，“這種信息類型是構(gòu)建安全戰(zhàn)略的第一步。”

如果企業(yè)不知道其敏感數(shù)據(jù)是什么及其位置，那么，企業(yè)如何可以保護(hù)這些數(shù)據(jù)呢?Smith表示，風(fēng)險(xiǎn)評估的第一部分應(yīng)該是查明企業(yè)內(nèi)敏感數(shù)據(jù)的位置。企業(yè)應(yīng)該知道有哪些敏感數(shù)據(jù)、位置所在以及其移動(dòng)的方向和誰有權(quán)訪問它。

該報(bào)告還發(fā)現(xiàn)，雖然58%的企業(yè)使用第三方來管理敏感數(shù)據(jù)，但48%的企業(yè)實(shí)際上并沒有部署第三方管理程序。

“很多企業(yè)(特別是零售業(yè))外包支付流程到第三方供應(yīng)商，讓他們可以訪問敏感支付卡信息，”Smith表示，“然而，他們不知道這些供應(yīng)商正在如何保護(hù)其數(shù)據(jù)。”

安全支付處理的問題顯得尤為重要，特別是在2014年發(fā)生了那么多零售業(yè)數(shù)據(jù)泄露事故。Smith建議企業(yè)與他們所使用的第三方供應(yīng)商進(jìn)行溝通，讓每一方都知道自己在數(shù)據(jù)保護(hù)方面的責(zé)任。此外，他建議企業(yè)對與第三方的合同構(gòu)建安全要求。

雖然企業(yè)可能無法面面俱到地保護(hù)數(shù)據(jù)，但Trustwave調(diào)查發(fā)現(xiàn)企業(yè)對法律責(zé)任有著很高的意識。60%的企業(yè)表示他們知道其保護(hù)敏感數(shù)據(jù)安全的法律責(zé)任。該調(diào)查發(fā)現(xiàn)，只有21%的企業(yè)沒有任何安全意識培訓(xùn)，這意味著多數(shù)企業(yè)實(shí)際上有某種形式的安全培訓(xùn)計(jì)劃。

此外，大多數(shù)受訪者表明，攜帶自己設(shè)備到工作場所(BYOD)控制已經(jīng)部署到位。只有38%的受訪者指出其企業(yè)并沒有任何BYOD控制。

Smith稱：“仍然有很多企業(yè)沒有圍繞BYOD的安全政策和程序。”

補(bǔ)丁管理是安全企業(yè)的重要組成部分，但研究發(fā)現(xiàn)，58%的企業(yè)沒有完全成熟的補(bǔ)丁管理流程。Smith指出，在很多情況下，企業(yè)專注于部署更嚴(yán)格的訪問控制、入侵防御/檢測設(shè)備和其他外圍安全，而將補(bǔ)丁修復(fù)和維護(hù)現(xiàn)有系統(tǒng)放在較低優(yōu)先級。

該研究的另一個(gè)重要發(fā)現(xiàn)是，董事會對企業(yè)安全的參與性很強(qiáng)。45%的企業(yè)都有董事會級或者高管級管理層參與了安全事務(wù)。安全是一個(gè)自上而下的問題。

“企業(yè)各階層都應(yīng)該將安全視為重點(diǎn)問題，從技術(shù)IT專業(yè)人員到非技術(shù)性員工和管理人員，”Smith表示，“C級高管不僅應(yīng)該詢問其IT團(tuán)隊(duì)，我們的數(shù)據(jù)安全嗎?還應(yīng)該問，我們的數(shù)據(jù)是如何受到保護(hù)?部署了什么控制措施?”