報告稱大多數企業沒有正確保護敏感數據

Trustwave 在 2014 年風險狀態報告中發現一些令人驚訝的數據安全趨勢，其中包括大多數企業沒有完全成熟的方法來控制和追蹤敏感數據。

對於數據安全問題，企業之間有高度的法律認識，但並沒有弄清楚如何通過追蹤敏感數據來控制風險。該報告採訪了 50 多個國家的 476 名 IT 專業人士，其中大部分受訪者位於美國和英國。根據該報告顯示，63% 的企業沒有完全成熟的方法來控制和追蹤敏感數據。

Trustwave 公司高級副總裁 Phil Smith 表示，這意味著很多企業不知道他們的敏感數據在什麼位置，誰能夠存取它以及它的移動位置，這種信息類型是構建安全戰略的第一步。

如果企業不知道其敏感數據是什麼及其位置，那麼，企業如何可以保護這些數據呢? Smith 指出風險評估的第一部分應該是查明企業內敏感數據的位置。企業應該知道有哪些敏感數據、位置所在以及其移動的方向和誰有權存取它。

該報告還發現，雖然 58% 的企業使用第三方來管理敏感數據，但 48% 的企業實際上並沒有部署第三方管理程序。

Smith 表示很多企業(特別是零售業)外判支付流程到第三方供應商，讓他們可以存取敏感信息，然而，他們不知道這些供應商如何保護其數據。

安全支付處理的問題顯得特別重要，其因在 2014 年發生了不少零售業數據洩露事故。Smith 建議企業與他們所使用的第三方供應商進行溝通，讓每一方都知道自己在數據保護方面的責任。此外，企業應與第三方供應商一起構建安全要求。

雖然企業可能無法全面保護數據，但 Trustwave 調查發現企業對法律責任有很高的意識，60% 的企業表示他們知道其保護敏感數據安全的法律責任。該調查發現，只有 21% 的企業沒有任何安全意識培訓，這意味著許多企業有某種形式的安全培訓計劃。

此外，大多數受訪者表明，BYOD 已經部署。只有 38% 的受訪者指出其企業並沒有任何 BYOD 方案。但 Smith 稱仍然有很多企業沒有就 BYOD 定立安全政策和程序。

補丁管理是安全的重要部分，但研究發現，58% 的企業沒有完全成熟的補丁管理流程。Smith 指出在很多的情況下，企業專注於部署更嚴格的存取控制、入侵防禦、檢測裝置和其他外圍安全，而將補丁修復和維護現有系統放在較低的優先次序。

該研究的另一個重要發現是，董事會對企業安全的參與性很強。45% 的企業都有董事會級或者高級管理層參與安全事務，因為安全是一個自上而下的問題。

Smith 表示企業各階層都應該將安全視為重點問題，從技術 IT 專業人員到非技術性員工和管理人員，高級人員不僅應該詢問其 IT 團隊，我們的數據安全嗎?還應該問，我們的數據是如何受到保護?部署了什麼控制措施?