安全牛點評
與新冠病毒類似,不注意“數據衛生”的後果是非常可怕的。長期以來,企業數據安全的重點工作和投入都用在如何保障數據的機密性、一致性和可用性,而對於“勤洗手”——數據清理/銷燬的投入和重視往往不夠。在合規形勢異常嚴峻的今天,如何正確地銷燬數據,制定並實施數據清理政策,已經成了全球性的難題和重大隱患。而對於當下疫情期間面臨全民遠程辦公BYOD威脅的中國企業來說,“數據衛生”問題尤為緊迫。比不知者無畏更可怕的是,大量企業的“知而不行”。
根據Blancco的一項全球調查,儘管受訪的1850名大型組織高級領導者中有96%表示制定了數據清理政策,但高達31%的企業尚未在全公司範圍進行溝通。
20%的受訪者不相信自己的組織完成了數據清理策略的定義。總體而言,超過一半的組織(56%)沒有適當的數據清理策略,無法在整個公司範圍內進行有效的定期溝通,這增加了潛在的數據洩露風險。
根據調查, 22%的員工在離開公司時負責管理和控制自己的報廢IT設備,另有22%的人將此職責交由直屬經理負責。
如果沒有將有效的數據清理政策傳達給任何一方,擦除不力導致的敏感信息洩漏機會就會大大增加。此外,其他一些常見的“衰操作”也會放大數據洩露風險:
讓資產/設備在倉庫自生自滅
87%的全球企業承認在達到使用壽命時不對資產進行清理,而31%的企業報告稱要花費一個多月的時間對這些設備進行清理。這使公司面臨更大的設備丟失、失竊和數據洩露的風險。
異地擦除/銷燬
34%的企業組織都在異地清理報廢PC和筆記本電腦。與第三方提供商合作在異地清理/銷燬設備不一定是一件壞事,但這確實帶來了一定的風險,尤其是如果組織對IT資產的監管鏈沒有完全通透的瞭解,並且無法證明他們的資產數據在運輸過程中沒有受到損害或非法訪問。任何外部承包商都需要為這些企業報廢資產的整個保管鏈和認證的擦除工作提供詳細的審計追蹤。
缺乏清晰明確的數據清理政策主體
儘管68%的受訪者認為數據清理策略的所有權已在其組織內明確傳達,但當被問及實施數據清洗政策的負責人時,有18%的企業認為是DPO,18%認為是運營主管,17%認為是IT運營主管,還有11%認為是CISO。缺乏明確的所有權可能表明,大多數企業都將數據清理看作是滿足合規性或運營要求的“走形式”,而非真的意識到其數據風險。全球企業如此普遍地缺乏有效的數據清理政策令人震驚。如果企業不能在數據生命週期的每個階段都有效地制定和傳達這些策略,就有可能使大量潛在的敏感數據面臨風險。企業的當務之急是將流程分配給高級領導團隊,基於明確的所有權和可審計性進行控制,以減輕這些風險。
遠程辦公導致數據清理政策執行難
接受調查的企業中有三分之一還認為,企業的“敏捷員工”(例如遠程辦公)最不可能遵守數據清理政策,同時40%的企業認為承包商或自由職業者最不可能理解或遵守其數據清理政策。
圍繞數據清理政策的實施,目前的問題不僅是缺乏明確的所有權,而且缺乏相關職責定義。
數據清理的職責通常散落在不同的工作角色中,包括合規主管(30%)、IT運營主管(15%)、運營主管(14%)、法律主管(11%)和DPO(9%),導致合規的碎片化和極高的罰款風險。
美國/加拿大的現狀
在美國和加拿大,有33%的受訪企業認為,在家中或遠程工作的靈活工作者遵守數據清理策略的可能性最小,這意味著較大安全風險。美國和加拿大企業中有32%的員工在離開公司時負責管理和控制自己的報廢IT設備。19%的人將此職責交由直屬經理負責。
在美國和加拿大,三分之一(32%)的企業還表示,他們將讓其合規負責人負責遵守其令人鼓舞的數據清理政策。但是,只有9%的受訪者將此責任賦予了他們的DPO。
英國的現狀
儘管有97%的英國公司制定了數據清理政策,但仍有超過三分之一(37%)尚未在整個企業中進行溝通。總體而言,近一半的公司(42%)沒有適當的數據清理政策,無法在整個組織內進行有效且定期的溝通。英國公司中有20%的員工在離開組織時負責管理和控制自己的報廢IT設備。35%的人將這一責任交給他們的直屬經理。
令人擔憂的是,有58%的英國企業還報告說不知道其組織的IT安全政策何時更新,有56%的企業不清楚其內容是什麼,在所有接受調查的國家中都是最高的。
閱讀更多 安全牛 的文章
