Trustwave在其2014年风险状态报告发现了一些令人惊讶的数据安全趋势，其中包括这样的事实，即大多数企业没有完全成熟的方法来控制和追踪敏感数据。

    对于数据安全问题，企业间有着很高程度对法律责任的认识，但并没有弄清楚如何通过追踪敏感数据来控制风险。该报告采访了50多个国家的476名IT专业人士，其中大部分受访者位于美国和英国。根据该报告显示，63%的企业没有完全成熟的方法来控制和追踪敏感数据。

    “这意味着很多企业不知道他们的敏感数据在什么位置，谁能够访问它以及它的移动位置，”Trustwave公司高级副总裁Phil Smith表示，“这种信息类型是构建安全战略的第一步。”

    如果企业不知道其敏感数据是什么及其位置，那么，企业如何可以保护这些数据呢？Smith表示，风险评估的第一部分应该是查明企业内敏感数据的位置。企业应该知道有哪些敏感数据、位置所在以及其移动的方向和谁有权访问它。

    该报告还发现，虽然58%的企业使用第三方来管理敏感数据，但48%的企业实际上并没有部署第三方管理程序。

    “很多企业（特别是零售业）外包支付流程到第三方供应商，让他们可以访问敏感支付卡信息，”Smith表示，“然而，他们不知道这些供应商正在如何保护其数据。”

    安全支付处理的问题显得尤为重要，特别是在2014年发生了那么多零售业数据泄露事故。Smith建议企业与他们所使用的第三方供应商进行沟通，让每一方都知道自己在数据保护方面的责任。此外，他建议企业对与第三方的合同构建安全要求。

    虽然企业可能无法面面俱到地保护数据，但Trustwave调查发现企业对法律责任有着很高的意识。60%的企业表示他们知道其保护敏感数据安全的法律责任。该调查发现，只有21%的企业没有任何安全意识培训，这意味着多数企业实际上有某种形式的安全培训计划。

    此外，大多数受访者表明，携带自己设备到工作场所（BYOD）控制已经部署到位。只有38%的受访者指出其企业并没有任何BYOD控制。

    Smith称：“仍然有很多企业没有围绕BYOD的安全政策和程序。”

    补丁管理是安全企业的重要组成部分，但研究发现，58%的企业没有完全成熟的补丁管理流程。Smith指出，在很多情况下，企业专注于部署更严格的访问控制、入侵防御/检测设备和其他外围安全，而将补丁修复和维护现有系统放在较低优先级。

    该研究的另一个重要发现是，董事会对企业安全的参与性很强。45%的企业都有董事会级或者高管级管理层参与了安全事务。安全是一个自上而下的问题。

    “企业各阶层都应该将安全视为重点问题，从技术IT专业人员到非技术性员工和管理人员，”Smith表示，“C级高管不仅应该询问其IT团队，我们的数据安全吗？还应该问，我们的数据是如何受到保护？部署了什么控制措施？”

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。