員工和首席信息官無法就誰應該為內部數據泄露的持續洪流而責備
通常,當大型組織受到數據洩露的打擊時,它很快就會宣布正在進行調查,並且其安全專家以及外部專家和執法人員將盡一切努力找出誰是誰。對事件負責。人們和組織如此專注於發現誰做了某件事,以至於他們忘記了他們真正的首要任務是-了解有多少人受到影響,並找出可以做些什麼來保護其數據和隱私。
但是,徹底的調查是應對網絡安全事件的重要組成部分。為了防止將來的數據洩漏,組織必須找出發生了什麼並得出所有必要的結論。
我們看到越來越多的違規行為在沒有外部幫助的情況下泄露了數據。在這種情況下,找出錯誤的來源更為重要。不幸的是,由安全公司Egress委託進行的一項調查顯示,這往往比看起來要困難得多。
Table of Contents
IT負責人和員工進行了採訪,試圖找出誰負責數據安全狀態
該報告被稱為Insider Data Breach 2019,顧名思義,該報告專注於在沒有黑客干預的情況下發生的數據安全事件。這項研究是由Opinion Matters進行的,涉及500名IT主管(首席信息官)和美國和英國的4,000多名員工。
受訪者被問到有關其雇主處理數據方式的各種問題。他們告訴研究人員,他們工作的公司最近是否遭受了違約,以及他們是否期望將來會遭受違約。他們對誰負責什麼以及程序和政策是否應按其應有的明確規定給出了意見。事實證明,IT主管和正式員工的想法之間存在巨大的深淵。
似乎沒有人同意任何事情
首席信息官對員工保持信息安全的能力似乎並不十分自信。高達95%的人認為內部人員確實會將組織的數據置於危險之中。在他們看來,他們對此有充分的理由。
接受采訪的IT領導者中有79%認為,在去年,員工使公司信息面臨風險,而61%的員工則認為他們故意這樣做。 60%的受訪CIO認為他們的組織將在未來十二個月內遭受某種形式的數據洩露,並且幾乎一半(46%)認為該洩露是惡意的。
但是,當低級員工回答問題時,情況就大不一樣了。超過90%的人說,在處理信息方面,他們從未違反組織的政策。在那些確實承認不安全共享數據的公司中,超過一半的人聲稱他們這樣做是因為沒有適當的工具來正確地進行數據共享。
換句話說,責任就像火鍋一樣亂扔,與此同時,無休止的數據洩露流表明這種情況遠非理想。有沒有出路?
保護公司數據應該是一個協調的過程
在當今時代保持業務信息安全是一個持續不斷的,複雜的過程,它取決於許多不同的人,這意味著當出現問題時,通常很難將矛頭對準一個人並說“這是他們的錯”. 事實是,從C級員工到從一個數據庫複製粘貼信息到另一個數據庫的每個人,每個人都必須充分了解數據的重要性以及丟失數據的後果。
CIO必須與低級工作人員一起制定保護數據並確保順暢的工作流程的策略。必須教會員工如何充分利用這些政策,最重要的是,應該告訴他們,如果不遵守這些政策會發生什麼。
不幸的是,鑑於Egress的《 2019年內部數據突破》報告中引用的數據之間存在巨大差距,因此預測不久的將來會有重大改善僅是一廂情願。