员工和首席信息官无法就谁应该为内部数据泄露的持续洪流而责备
通常,当大型组织受到数据泄露的打击时,它很快就会宣布正在进行调查,并且其安全专家以及外部专家和执法人员将尽一切努力找出谁是谁。对事件负责。人们和组织如此专注于发现谁做了某件事,以至于他们忘记了他们真正的首要任务是-了解有多少人受到影响,并找出可以做些什么来保护其数据和隐私。
但是,彻底的调查是应对网络安全事件的重要组成部分。为了防止将来的数据泄漏,组织必须找出发生了什么并得出所有必要的结论。
我们看到越来越多的违规行为在没有外部帮助的情况下泄露了数据。在这种情况下,找出错误的来源更为重要。不幸的是,由安全公司Egress委托进行的一项调查显示,这往往比看起来要困难得多。
Table of Contents
IT负责人和员工进行了采访,试图找出谁负责数据安全状态
该报告被称为Insider Data Breach 2019,顾名思义,该报告专注于在没有黑客干预的情况下发生的数据安全事件。这项研究是由Opinion Matters进行的,涉及500名IT主管(首席信息官)和美国和英国的4,000多名员工。
受访者被问到有关其雇主处理数据方式的各种问题。他们告诉研究人员,他们工作的公司最近是否遭受了违约,以及他们是否期望将来会遭受违约。他们对谁负责什么以及程序和政策是否应按其应有的明确规定给出了意见。事实证明,IT主管和正式员工的想法之间存在巨大的深渊。
似乎没有人同意任何事情
首席信息官对员工保持信息安全的能力似乎并不十分自信。高达95%的人认为内部人员确实会将组织的数据置于危险之中。在他们看来,他们对此有充分的理由。
接受采访的IT领导者中有79%认为,在去年,员工使公司信息面临风险,而61%的员工则认为他们故意这样做。 60%的受访CIO认为他们的组织将在未来十二个月内遭受某种形式的数据泄露,并且几乎一半(46%)认为该泄露是恶意的。
但是,当低级员工回答问题时,情况就大不一样了。超过90%的人说,在处理信息方面,他们从未违反组织的政策。在那些确实承认不安全共享数据的公司中,超过一半的人声称他们这样做是因为没有适当的工具来正确地进行数据共享。
换句话说,责任就像火锅一样乱扔,与此同时,无休止的数据泄露流表明这种情况远非理想。有没有出路?
保护公司数据应该是一个协调的过程
在当今时代保持业务信息安全是一个持续不断的,复杂的过程,它取决于许多不同的人,这意味着当出现问题时,通常很难将矛头对准一个人并说“这是他们的错”. 事实是,从C级员工到从一个数据库复制粘贴信息到另一个数据库的每个人,每个人都必须充分了解数据的重要性以及丢失数据的后果。
CIO必须与低级工作人员一起制定保护数据并确保顺畅的工作流程的策略。必须教会员工如何充分利用这些政策,最重要的是,应该告诉他们,如果不遵守这些政策会发生什么。
不幸的是,鉴于Egress的《 2019年内部数据突破》报告中引用的数据之间存在巨大差距,因此预测不久的将来会有重大改善仅是一厢情愿。
