即使绝大多数的大型全球性企业都感到易受数据泄露等安全威胁,太多的组织继续对待网络安全的合规性的锻炼,根据来自安全厂商Vormetric的一项新的调查。
在世界各地的1100个多名安全主管一项民意调查,受访者91%的人认为他们的组织是脆弱的内部或外部数据的威胁。
然而,64%的受访者表示,在防止数据泄露方面,合规是一种“非常”或“极其”有效的策略,比之前高出6个百分点去年的调查。
“合格并不能保证安全,” Vormetric的CSO索尔凯茨说。“这是安全的最低限度你应该在的地方。”
[相关阅读:合规性不等于安全]
在58%的人说微弱多数的受访者说,他们计划增加在未来一年的安全开支,但他们表明,多,努力仍然受到法规遵从问题的动机。在严格管制的行业,在合规性问题蒙上了长长的阴影在公司的经营管理人员,往往是最乐观的,遵守是强大的安全路径。
许多受访说,他们打算将他们在2016年的消费走向更强的周边,如网络和端点安全性,以及安全事故和事件管理防御安全管理人员。
[相关阅读:安全首当其冲地防止漏洞,改进内部控制]
就目前而言,这些策略是不错的,但像调查赞助商这样专门从事数据安全的公司认为,公司需要采取更多措施保护其敏感数据的所在地。
数据没有防御
“在现实中的对手是数据之后真的,我们正在把控制来保护数据本身真是倒在列表的底部,”盖茨说。“数据是数据 - 这是1和0,它不具有任何内置的防御。”
39%的受访者表示,他们在过去一年中经历过数据泄露或安全审计不及格。
Vormetric的吹捧像加密和标记化策略的有效性,但是盖茨承认,很多企业有更多的基础工作做才能得到他们的房子秩序。他敦促公司采取他们的数据资产和访问控制的彻底清查 - 被越来越多地使用第三方承包商和服务供应商的显着复杂的任务 - 然后确定哪些资源是非常重要的。
数据分类仍然是大多数企业的大问题
“这是最难的部分是仅仅知道它在哪儿,谁拥有它。数据分类仍然是许多机构的问题,”他说。“很多组织中,会发生什么是扩张。事物总是在不断变化的,所以除非你有一个很好的框架和相应的政策和程序,它变得真的很难做到这一点。”
太多的公司,盖茨说,还没有完成他所说的“阻止和解决”数据发现和分类。在数据资产采取了认真研究后,许多公司有信心,他们的数据资产只有大约10%到20%可能被认为是关键的,因此需要最强大的保护的结论。
“并非一切都是有价值的。在大多数组织中这是一个非常小的比例这是非常有价值的,”盖茨说。
[相关阅读:研究:合规性最大的云安全挑战]
即使像Vormetric这样的公司敦促公司更加警惕地锁定他们的数据,一个组织的安全部门也不能在真空中运作。Cates强调了CISO从一开始就与CIO合作的重要性——延伸到公司的业务方面——以达到数据安全的适当平衡,不会过度妨碍任务的完成。
“你真的必须确保安全是第1步,因为它真的很难改造安全后,列车离开车站,”盖茨说。这个过程必须是合作,他说,呼吁企业的安全翼表现出克制的措施,并制定数据政策方面的访问和可用性的合法经营的担忧。“不要打破业务 - 规则数1作为CISO是你不能打破的业务。”
这个故事,“网络安全远远超过合规演习”,由最初发表CIO 。