我们使用“企业”一词是有充分理由的。拥有500多名员工的大公司或企业代表着复杂的生态系统,这些生态系统具有令人难以置信的资源,结构,更重要的是,拥有大量的专业知识和数据。这些组织中的信息安全非常具有挑战性,需要多个部门和业务部门经理(不仅是IT部门)付出巨大的努力。但是,共同努力真的存在吗?还是只是理想的IT安全供应商的愿望?企业未遵循其他推荐做法?

让我们来看看企业无法承担的五个最常见的数据安全错误:

1.未能使信息安全成为业务组件

举例来说,在一家企业中,在服装制造业中,未发布的服装设计遭受数据泄露与延迟生产或与错误的商店建立伙伴关系一样糟糕。大多数企业不了解这一点,因此无法将数据保护与营销,人力资源,业务发展,R&D等。相反,他们将这项工作分配给IT部门,而该部门通常因其复杂性而无法承受。

IT安全不仅意味着要安装X软件解决方案并监督其有效性。它由多个流程,业务案例,员工的工作工具和模型以及业务目标构成。可靠的数据保护策略从业务需求(确保所有业务活动安全执行,没有数据丢失或被盗风险)开始,以及高层管理人员开始,高层管理人员必须明确地将目标传达给员工,尤其是部门经理,并建立目标。员工不遵守公司政策的程序。

2.如果违反,则不准备响应和恢复计划

如果发生违规,那么许多企业就会陷入困境。负责的PR措手不及,高层管理人员采取防御措施,并立即求助于IT部门以寻找应受的责备,IT员工感到困惑,即使采取了所有措施也可能发生这种情况。为避免这种危机,应制定应对和恢复计划,并回答诸如“如果我们遭受泄漏,我们为减少损失和隔离事件要做的第一件事是什么?如果泄漏最终出现在媒体上,我们该如何应对?我们如何通知受影响的用户?等等。数据泄露通常是由公司中越来越多的人做出的一系列错误决定导致的,高层管理者越早意识到这一点越好。

3.将大部分资源分配给云数据安全

的确,云是大多数企业的重要组成部分。确保数据在云文件共享服务上的安全或避免在云应用上上传/复制机密数据至关重要。但是,将所有资源都集中到云数据安全上,而忽略其他出口点,例如USB棒,外部HDD,内部存储卡,台式机应用程序,智能手机和平板电脑,甚至CD和DVD,都是一个大错误。

USB闪存驱动器现已达到 2TB 容量,并且可以轻松地存储整个数据库,网站,或者比笔记本电脑的硬盘可以存储的更多内容。未能为使用便携式存储设备强制执行安全策略,对其进行加密以及仅授予受信任用户访问权限可能会导致数据被盗,泄漏或丢失。

4.对内部威胁的重视不足

在大公司中,找到心怀不满的员工的机会比在小公司中更大。与管理层的关系更为人性化,内部法规更加严格,而且由于竞争加剧且受到关注更具有挑战性,因此晋升难度更大。这样就会出现不满情绪,并导致诸如客户数据库被盗,知识产权,机密信息泄露等情况。

对员工的态度没有给予足够的重视,而数据安全实施则只关注用户行为和数据传输模式,而将重点放在外部威胁上却导致数据安全漏洞。除了故意的恶意行为外,还有内部人员威胁中的过失和人为错误因素,需要使用适当的工具和策略来解决。

5.不利用大数据

企业从数百个用户,应用程序,设备和平台中生成大量数据,但在获取见解和利用收集到的数据方面存在不足。原因多种多样,原因是缺乏技能(例如数据科学家),愿景和其他原因。可以基于大数据分析和解释来优化公司的许多活动,包括数据安全性,例如在早期阶段预测安全事件。很少有公司使用诸如 Hadoop的 利用大量的数据并改善其IT安全实施和流程。

结论

有些人可能认为,对于企业而言,购买和实施安全性工具更为容易。现实情况是,对于超过一定规模的公司而言,事情变得复杂了,没有适当的IT安全性和业务协议,它们就留有出错的余地,这些错误最终会导致不可逆转的损害。避免上述错误可以减少发生数据泄露的机会,并且从长远来看可以提高信息安全性。

作者: 

资源: 端点保护器博客