【IT168 调查报告】Check Point与波耐蒙研究所(Ponemon Institute)最近发表了一份题为《了解21世纪IT环境的安全复杂性》的全球调研报告,结果显示77%的机构去年都曾遭遇数据丢失。波耐蒙研究所是一家著名的隐私及信息管理研究公司。
上述调研显示,受访者认为最常丢失的信息类型包括客户信息(52%)、知识产权(33%)、员工信息(31%)和公司计划(16%)。随着Web2.0应用程序的广泛应用和更多种类的移动设备连接到网络,企业需要执行更佳数据安全保护及IT治理,以及符合更严格的风险及法规遵从(GRC)要求。
这项调研访问了2,400多名IT安全管理人员,其结果表明数据泄密的主因是设备丢失或被盗,其次为网络攻击、不安全的移动设备、Web2.0和文件共享应用程序,以及无意地发送电子邮件给错误的收件人。此外,大约49%的受访者认为他们公司的员工对数据安全、法规及政策的意识极低甚至没有,这促使企业把提高用户意识作为数据保护策略的一部分,因为用户往往是数据安全的第一道防线。
Check Point软件技术有限公司网络安全产品副总裁Oded Gonda表示:“数据安全和法规遵从往往是首席信息安全官的首要工作。如果从数据泄密的成因分析,大多数事故是无心之失。为了将数据丢失防护的工作从检测转为预防,企业应该考虑将提高用户意识,并建立相应的程序,增强信息资产的可视性与控制。”
由于数据防泄密(DLP)是头号的信息安全挑战,企业了解数据泄密的起因,并建立严密的数据保护机制至为重要:
· 了解机构的数据安全需求 – 掌握并记录现存于机构内的敏感数据类型,并明确定出哪类数据类是需要管理,或者需要符合行业法规标准。
· 敏感数据分类 - 首先,创建机构敏感数据类型列表并注明敏感程度。考虑建立一个文档模板,按照公开、限制或高度机密进行归类,并提高用户对公司政策和敏感信息构成的意识。
· 根据业务需要制定安全政策 - 机构的安全策略应该在不影响最终用户的情况下保护公司的信息资产。首先,根据单个员工、组别或机构的业务需求,用简单的商业用语制定公司信息安全政策。为了更好地执行企业的信息安全政策,应该采用身份识别解决方案,以便为公司提供更多有关其用户和IT环境的可视性。
· 确保数据整个生命周期的安全 - 企业应该考虑部署数据安全解决方案,保护各种形式的敏感数据,如关联用户、数据类型和流程等,并确保其整个生命周期的安全,包括数据的存储、传输和使用。
· 消除合规负担 - 评估政府和行业的法规要求,以及它们如何影响机构的安全和业务流程。为了执行工作能一步到位,机构可考虑实施行业的非常好的范例,以满足特定法规要求,如HIPAA、PCI DSS和萨班斯法案。采用非常好的范例政策也使IT团队能专注法规要求以外的数据保护工作。
· 强调用户身份识别和参与 - 让用户参与到安全决策过程中。技术可以帮助教育用户了解企业的信息安全政策,并使他们能够实时补救安全事件。结合技术和身份识别使员工通过自己实践增强对风险行为的敏感度。
Ponemon研究所董事长兼创始人Larry Ponemon博士表示: “随着每年发生数以百计已报告或没有报告的数据泄密事故,治理、风险及法规遵从等课题自然成为焦点。 现今数据安全不仅仅是部署一套技术来克服这些挑战,事实上,员工缺乏有关意识是数据泄密事件的主要原因,这也促使更多企业教育其员工了解公司的信息安全政策。”
Check Point DLP软件刀片基于该公司的软件刀片架构™。Check Point将技术和身份识别独特地相结合,帮助企业先发制人保护敏感数据,防止无意的泄露。凭借其独特的UserCheck™技术,Check Point DLP超越技术,教育用户了解正确的数据执行政策并使他们能够实时作出补救。
《了解21世纪IT环境的安全复杂性》调研由波耐蒙研究所在2011年2月期间独立进行,该机构对美国、英国、法国、德国以及日本的IT管理人员进行了访问。调查样本涵盖了14个行业的各种规模企业。
Gonda总结说:“Check Point把数据防泄密视为一项策略,而不是一种技术。我们致力于确保客户拥有所需工具,去预防和补救数据泄露,防患于未然。”