了解21世纪IT环境的安全复杂性调研报告

Check Point与波耐蒙研究所(Ponemon Institute)发布《了解21世纪IT环境的安全复杂性》的全球调研报告。调查结果显示,去年有77%的受访机构曾遭遇数据泄漏,数据泄漏的主因是 设备丢失或被盗,而最易泄漏的数据类型是客户信息和知识产权。

该调研访问了2,400多名IT安全管理人员。

其结果表明数据泄密的主因是设备丢失或被盗,其次为网络攻击、不安全的移动设备、Web2.0和 文件共享应用程序,以及无意地发送电子邮件给错误的收件人。此外,大约49%的受访者认为他们公司的员工对数据安全、法规及政策意识极低甚至没有。

受访者认为最常丢失的信息类型包括客户信息(52%)、知识产权(33%)、员工信息(31%)和公司计划(16%)。随着Web2.0应用程 序的广泛应用和更多种类的移动设备连接到网络,企业需要执行更好的数据安全保护及IT治 理,以及符合更严格的风险及法规遵从(GRC)要求。

Check Point网络安全产品副总裁Oded Gonda表示:“数据安全和法规遵从是首席信息 安全官的首要工作。如果从数据泄密的成因分析,大多数事故是无心之失。为了将数据丢失防护的工作从检测转为预防,企业应该考虑提高用户意识,并建 立相应的程序,增强信息资产的可视性与控制。”

数据防泄密(DLP)是最主要的信息安全挑战之首,了解数据泄密的起因, 并建立严密的数据保护机制对于企业来说至为重要。以下是一些预防数据泄密的安全措施:

一、了解机构的数据安全需求。掌握并记录现存于机构内的敏感数据类型,并明确哪类数据需要管理,或需要符合 行业法规标准。

二、敏感数据分类。确定机构的数据安全需求之后,再对各种数据进行分类,建立一个文档模板,按照公开、限制 或高度机密等不同安全级别对数据进行归类,以提高员工对公司政策和敏感信息构成的意识。

三、根据业务需要制定安全政策。机构安全策略的制定前提是:在不影响最终用户使用的情况下,保护公司的信息 资产。因此,可以根据每个员工、部门或机构的业务需求,用简单的商业用语制定公司信息安全政策。为了更好地执行企业的信息安全政策,应该采用身份识别解决方案,以便为公司提供更多有关其用户和IT环境的可视性。

四、确保数据整个生命周期的安全。企业应该考虑部署数据安全解决方案,保护各种形式的敏感数据,如关联用 户、数据类型和流程等,并确保其整个生命周期的安全,包括数据的存储、传输和使用。

五、消除合规负担。除了满足机构自身对于安全的需求之外,机构还需要满足政府和行业的法规要求。因此,企业 应该评估法规要求以及它们对机构的安全和业务流程带来的影响,并据此制定安全策略。

为了执行工作能一步到位,机构可考虑实施行业的最佳范例,以满足特定法规要求,如HIPAA、PCI DSS和萨班斯法案。采用最佳范例政策也使IT团队能专注法规要求以外的数据保护工作。

六、强调用户身份识别,让用户参与到安全决策过程中。应该让用户了解企业的信息安全政策,并使他们能够实时 补救安全事件。结合技术和身份识别使员工通过自身实践增强对风险行为的敏感度。

Ponemon研究所董事长兼创始人Larry Ponemon博士表示: “随着每年发生数以百计已报告或没有报告的数据泄密事故,治理、风险及法规遵从等课题自然成为焦点。现今数据安全不仅仅是部署一套技术来克服这些挑战,事 实上,员工缺乏相关意识是数据泄密事件的主要原因,这也促使更多企业教育其员工了解公司的信息安全政策。”

Check Point DLP软件刀片基于该公司的软件刀片架构™,将技术和身份识别相结合,帮助企业护敏感数据,防止无意的泄露。凭借其UserCheck™技术,Check Point DLP能够帮助用户了解正确的数据执行政策并使他们能够实时作出补救。

《了解21世纪IT环境的安全复杂性》调研由波耐蒙研究所在2011年2月期间独立进行,该机构对美国、英国、法国、德国以及日本的IT管理人员进行了访问。调查样本涵盖了14个行业的各种规模企业。