舉個例子，在2021年年中，94%的接受調(diào)查的企業(yè)報告說，他們遭受過內(nèi)部數(shù)據(jù)泄露。一年后，根據(jù)《哈佛商業(yè)評論》的數(shù)據(jù)，在第二次調(diào)查中，67%的受訪員工承認他們沒有遵守公司的網(wǎng)絡(luò)安全政策。

員工不遵守(或在某些情況下，缺乏知識)安全和治理政策是越來越多的公司使用社會工程審計來審查用戶部門實踐的原因之一，治理失誤的另一個原因是員工壓力，根據(jù)蓋洛普的數(shù)據(jù)，2023年員工壓力占所有員工的44%。

公司不想要壓力過大的員工，但他們也不想要糟糕的數(shù)據(jù)治理，而且他們知道數(shù)據(jù)治理不是IT可以獨立完成的工作。

問題是：期望員工和用戶部門自己進行數(shù)據(jù)治理策略有多現(xiàn)實?

非侵入性治理的目標(biāo)

數(shù)據(jù)治理要求用戶遵守策略，但同樣重要的挑戰(zhàn)是使數(shù)據(jù)治理對用戶盡可能非侵入性。用戶不想得到新的任務(wù)，這些任務(wù)似乎是他們的工作職責(zé)之外的。因此，通過用戶每天都在做的事情來看待數(shù)據(jù)治理是有意義的。

以下是一些最佳實踐：

用戶經(jīng)理負責(zé)向IT部門提供其員工名單，以及每位員工所需的IT資源授權(quán)級別。用戶經(jīng)理還負責(zé)讓人力資源和IT部門知道任何調(diào)到其他用戶部門或離開公司的員工，以便更改或取消對這些人員的授權(quán)。

現(xiàn)在，大多數(shù)公司的標(biāo)準做法是，用戶區(qū)域的員工立即報告任何不尋常的電子郵件，以便IT部門可以調(diào)查這些電子郵件的合法性。

在許多情況下，IT部門已經(jīng)將所有工作人員的系統(tǒng)使用情況月度報告發(fā)送給各自的管理人員進行審查。報告的目的是讓經(jīng)理檢查員工系統(tǒng)的使用情況是否有任何異常。

所有這些步驟都有助于維護企業(yè)數(shù)據(jù)治理，它們也是用戶經(jīng)常執(zhí)行的任務(wù)。

非侵入性數(shù)據(jù)治理策略的目標(biāo)是確保用戶繼續(xù)做他們已經(jīng)在做的事情，同時避免向用戶工作負載添加新的數(shù)據(jù)治理任務(wù)。

使用IT自動化

使數(shù)據(jù)治理對用戶非侵入性的另一種方法是使用自動化軟件來實施數(shù)據(jù)治理。

自動化解決方案可用于以下操作：

多因素身份驗證，需要用戶登錄到IT資源，而不僅僅是用戶ID和密碼(例如，通過添加第三個元素，如生物識別)。

數(shù)據(jù)清理和準備工具，在將數(shù)據(jù)納入中央數(shù)據(jù)存儲庫之前，審查并確保數(shù)據(jù)格式正確、準確，并能夠與中央數(shù)據(jù)存儲庫中的其他形式的數(shù)據(jù)集成。

自動跟蹤和跟蹤工具，可以檢測和監(jiān)控網(wǎng)絡(luò)中所有點的用戶活動，并在檢測到使用異常時立即發(fā)出警報。

部署零信任網(wǎng)絡(luò)，不僅保護網(wǎng)絡(luò)的外部邊界，而且保護只有特定用戶有權(quán)訪問的特定IT系統(tǒng)和資產(chǎn)的內(nèi)部邊界。

SD WAN (軟件定義廣域網(wǎng))和SASE(安全訪問服務(wù)邊緣)解決方案，將數(shù)據(jù)安全擴展到內(nèi)部企業(yè)網(wǎng)絡(luò)之外，并提供高級工具和自動化，以確?；谠频臄?shù)據(jù)操作安全。

自動軟件安全更新，可將更新推送到最終用戶設(shè)備。

IT設(shè)備跟蹤功能，可定位丟失或放錯位置的設(shè)備并將其關(guān)閉。

從云到云以及從云到數(shù)據(jù)中心的數(shù)據(jù)加密，確保數(shù)據(jù)在傳輸過程中的安全。

還能做些什么呢?

上面引用的《哈佛商業(yè)評論》的研究指出，當(dāng)員工故意違反公司安全和治理政策時，最常見的三個原因是“為了更好地完成我的工作任務(wù)”、“為了得到我需要的東西”和“幫助別人完成他們的工作”。

通過使用自動化，并確保盡可能不再要求用戶超出他們通常為數(shù)據(jù)安全和隱私所做的工作，IT可以使數(shù)據(jù)治理對用戶盡可能地非侵入性。

然而，有一個警告：不能免除用戶在數(shù)據(jù)治理中的所有參與和責(zé)任。

遵循政策是確保健全數(shù)據(jù)治理的最佳方法，但定期執(zhí)行第三方社會工程審計應(yīng)該是另一種方法。

用戶參與這些審計只是一個小小的“要求”，如果它可以為一家公司節(jié)省數(shù)百萬甚至數(shù)十億美元的緩解費用，那么它肯定是值得的。