由于人為失誤造成安全事件最多的是醫(yī)療保健行業(yè)，該行業(yè)在過去一年中報告了1,214起安全事件，兩年內(nèi)增長了41%。其次是一般商業(yè)行業(yè)(362起)，教育和兒童保健行業(yè)(354起)以及地方政府(328起)等。

這些信息主要來自信息自由(Freedom of Information，簡稱FOI)請求。據(jù)悉，《信息自由法案》在1966年7月4日簽署成為法律，法案規(guī)定任何人都有權(quán)利通過書面請求的方式從聯(lián)邦政府處獲取信息，并要求政府機構(gòu)公開文件。

Kroll公司負(fù)責(zé)人解釋稱，在GDPR正式生效之前，大多數(shù)組織并沒有強制要求報告其數(shù)據(jù)泄露事件，因此雖然這些數(shù)據(jù)很有啟發(fā)性，但它只是給出了英國各組織遭受的真實違規(guī)情況的一個縮影。

GDPR正式生效后，不滿足合規(guī)性要求的企業(yè)將面臨巨額的罰款，最終的影響是，企業(yè)不僅會面臨更大的個人數(shù)據(jù)財務(wù)風(fēng)險，還將面臨更嚴(yán)峻的聲譽風(fēng)險。

有效的網(wǎng)絡(luò)安全防御不僅僅與技術(shù)有關(guān)。通常而言，企業(yè)更傾向于購買最新的軟件來保護(hù)自身免受黑客攻擊，但卻未能啟動有效的數(shù)據(jù)管理流程和員工培訓(xùn)項目，以最大限度地降低安全風(fēng)險。事實證明，大多數(shù)數(shù)據(jù)泄露事件，甚至很多網(wǎng)絡(luò)攻擊行為，都可以通過減少人為失誤或?qū)嵤┫鄬唵蔚陌踩鞒虂碛行У刈柚埂?/p>

這需要的不僅僅是為用戶提供安全和隱私意識培訓(xùn)，還需要建立有效的機制來識別和防止內(nèi)部數(shù)據(jù)泄露事件的發(fā)生。

想要真正地減少人為失誤，增強數(shù)據(jù)安全性還需要人員、流程和技術(shù)的結(jié)合：所有這些因素必須仔細(xì)調(diào)整，以便更為有效、正確地融合在一起。要知道單靠安全性無法阻止違規(guī)行為，它還需要進(jìn)行文化轉(zhuǎn)變，以便將數(shù)據(jù)治理的安全意識和文化扎根于整個組織中。

除此之外，信息自由(FOI)數(shù)據(jù)還發(fā)現(xiàn)，未加密設(shè)備的丟失或被盜(133起)是數(shù)據(jù)泄露報告的另一個常見原因。在報告的蓄意網(wǎng)絡(luò)事件中，未經(jīng)授權(quán)的訪問是最常見類型(102起)，其次是惡意軟件攻擊(53起)，網(wǎng)絡(luò)釣魚攻擊(51起)以及勒索軟件(33起)等。

【本文是51CTO專欄作者“”李少鵬“”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文