近日,Check Point与波耐蒙研究所(Ponemon Institute)发布《了解21世纪IT环境的安全复杂性》的全球调研报告。调查结果显示,去年有77%的受访机构曾遭遇数据泄漏,数据泄漏的主因是设备丢失或被盗,而最易泄漏的数据类型是客户信息和知识产权。
该调研访问了2,400多名IT安全管理人员。
其结果表明数据泄密的主因是设备丢失或被盗,其次为网络攻击、不安全的移动设备、Web2.0和文件共享应用程序,以及无意地发送电子邮件给错误的收件人。此外,大约49%的受访者认为他们公司的员工对数据安全、法规及政策意识极低甚至没有。
受访者认为最常丢失的信息类型包括客户信息(52%)、知识产权(33%)、员工信息(31%)和公司计划(16%)。随着Web2.0应用程序的广泛应用和更多种类的移动设备连接到网络,企业需要执行更好的数据安全保护及IT治理,以及符合更严格的风险及法规遵从(GRC)要求。
Check Point网络安全产品副总裁Oded Gonda表示:“数据安全和法规遵从是首席信息安全官的首要工作。如果从数据泄密的成因分析,大多数事故是无心之失。为了将数据丢失防护的工作从检测转为预防,企业应该考虑提高用户意识,并建立相应的程序,增强信息资产的可视性与控制。”
数据防泄密(DLP)是最主要的信息安全挑战之首,了解数据泄密的起因,并建立严密的数据保护机制对于企业来说至为重要。以下是一些预防数据泄密的安全措施:
一、了解机构的数据安全需求。掌握并记录现存于机构内的敏感数据类型,并明确哪类数据需要管理,或需要符合行业法规标准。
二、敏感数据分类。确定机构的数据安全需求之后,再对各种数据进行分类,建立一个文档模板,按照公开、限制或高度机密等不同安全级别对数据进行归类,以提高员工对公司政策和敏感信息构成的意识。
三、根据业务需要制定安全政策。机构安全策略的制定前提是:在不影响最终用户使用的情况下,保护公司的信息资产。因此,可以根据每个员工、部门或机构的业务需求,用简单的商业用语制定公司信息安全政策。为了更好地执行企业的信息安全政策,应该采用身份识别解决方案,以便为公司提供更多有关其用户和IT环境的可视性。
四、确保数据整个生命周期的安全。企业应该考虑部署数据安全解决方案,保护各种形式的敏感数据,如关联用户、数据类型和流程等,并确保其整个生命周期的安全,包括数据的存储、传输和使用。
五、消除合规负担。除了满足机构自身对于安全的需求之外,机构还需要满足政府和行业的法规要求。因此,企业应该评估法规要求以及它们对机构的安全和业务流程带来的影响,并据此制定安全策略。
为了执行工作能一步到位,机构可考虑实施行业的最佳范例,以满足特定法规要求,如HIPAA、PCI DSS和萨班斯法案。采用最佳范例政策也使IT团队能专注法规要求以外的数据保护工作。
六、强调用户身份识别,让用户参与到安全决策过程中。应该让用户了解企业的信息安全政策,并使他们能够实时补救安全事件。结合技术和身份识别使员工通过自身实践增强对风险行为的敏感度。
Ponemon研究所董事长兼创始人Larry Ponemon博士表示: “随着每年发生数以百计已报告或没有报告的数据泄密事故,治理、风险及法规遵从等课题自然成为焦点。现今数据安全不仅仅是部署一套技术来克服这些挑战,事实上,员工缺乏相关意识是数据泄密事件的主要原因,这也促使更多企业教育其员工了解公司的信息安全政策。”
Check Point DLP软件刀片基于该公司的软件刀片架构™,将技术和身份识别相结合,帮助企业护敏感数据,防止无意的泄露。凭借其UserCheck™技术,Check Point DLP能够帮助用户了解正确的数据执行政策并使他们能够实时作出补救。
《了解21世纪IT环境的安全复杂性》调研由波耐蒙研究所在2011年2月期间独立进行,该机构对美国、英国、法国、德国以及日本的IT管理人员进行了访问。调查样本涵盖了14个行业的各种规模企业。