涉及数据保护和监管合规性时,大多数组织都没有考虑到可能阻碍安全过程的所有风险因素。缺乏意识和准备可以使企业失败,无法保护其公司数据和防止可能为他们的声誉造成的数据违规行为。

没有BYOD政策

根据A. 研究性学习,不受控制的用户访问数据和存储数据的差的管理是公司数据安全性的两个最大错误。
达成合规是一个复杂的过程,但允许他们的员工在网络内外传输数据的公司使其更加困难。没有员工培训或监测,以及没有BYOD政策是任何企业都失败的肯定道路。
该研究表明,很多IT专业人士(69%)允许员工在其个人移动设备上传输数据,其中包含次要限制,另一种相当数量(33%)允许员工将数据移动到云应用程序而没有任何限制,但暴露敏感数据并使公司处于危险之中。更糟糕的发现是,47%的组织有限或无法了解公司数据在网络外部移动/转移的能力。

员工之间缺乏安全意识

缺乏信息安全意识可以将员工转化为极其危险的内幕威胁。不幸的是,意识也是难以实施的,并且由于其无形的性质而评估。培训非保安人员,通知他们关于数据安全风险以及有关数据安全的权利和义务是必须的,但安全专业人员也必须意识到这应该定期完成,而不是作为一次性的。当涉及员工之间的意识并制定内部安全文化时,教育可以非常有效。因此,InfoSec Pros,请记住,假设员工知道内部数据安全策略可能是在保护数据中失败的最可靠方法之一。

没有数据分类

另一个巨大的错误大多数组织都没有对他们的敏感数据进行分类。数据分类在数据保护和监管合规性方面是至关重要的。不知道数据是保密的或需要保护的敏感数据以及存储在哪里,使得保护数据的过程困难。根据明确确定的标准,数据需要将数据分为相关类别,并为此,所有业务部门经理都必须提供其投入的可能性。只想考虑一个简单的情景,如将文件转移到公司网络中,它很清楚如何缺乏数据分类或任何其他类型的过滤敏感数据,可以变成一个大问题。所有员工都需要知道哪些公司数据是保密,敏感或公共的,更重要的是,必须通过数据泄漏防护解决方案进行监控和控制它们。财务和会计文件,商业策略,客户的详细信息,合作伙伴和员工数据库以及其他信息可以被归类为严格保密,曾经达成了错误的手,可以对公司的形象和完整性产生负面影响。

在休息和使用保护时没有数据

在思考保护数据的方法时,许多企业在互联网上传输的数据传输数据并忽略许多员工不应首先访问数据的批准。此外,许多人忽略了在使用中的数据保护,这可以包含数字证书,加密密钥,知识产权(软件算法,设计数据),PII和其他关键信息。

途中的数据 或运动中的数据是流过公共或不受信任的网络的信息,例如互联网和数据,其在私人网络的范围内流动,例如公司或企业局域网(LAN)。 (资源: 维基百科)

数据休息 是否以任何数字形式物理存储的非活动数据(例如,数据库,数据仓库,电子表格,档案,磁带,非现场备份,移动设备等)。 (资源: 维基百科)

使用数据 是通常在计算机随机存取存储器(RAM),CPU高速缓存或CPU寄存器中的非持久性数字状态中存储的活动数据。 (资源: 维基百科)

完整的安全实施应包括所有数字数据状态。
加密, 数据丢失预防,数据分类, 移动设备管理,安全身份验证以及安全意识文化在适当的情况下在保护三种类型的数据中发挥关键作用。

经过: 

资源: 端点保护博客