«Состояние 2014 года Отчета о Риске» от Trustwave определяет несколько удивительных трендов безопасности данных, включая факт, что большинство организаций не имеет полностью зрелого метода, чтобы управлять и отследить уязвимые данные.Когда дело доходит до безопасности данных существует высокая степень осведомленности о юридической ответственности, но не столь высокое понимание того, как ограничить риск, отследив уязвимые данные.
Это – одна из ключевой еды на дом от «состояния 2014 года Отчета о Риске» от поставщика систем обеспечения безопасности Trustwave.Отчет включает в себя ответы от 476 специалистов по ИТ из 50 стран с большинством респондентов в США и Соединенном Королевстве.
Согласно отчету, 63 процента организаций сегодня не имеют полностью зрелого метода, чтобы управлять и отследить уязвимые данные.«Это означает, что много компаний не знают, где их ценные жизни данных, у кого есть доступ к нему и куда это перемещается», сказал Фил Смит, первый вице-президент правительственных Решений и Специальных Расследований в Trustwave, eWEEK. «Такой информацией является первый шаг в создании стратегии безопасности».Если организация не знает то, что ее ценные данные и где она существует, то, как компания, как могут ожидать, защитит это данные? Смит спросил.
Так, он сказал, первый компонент оценки риска должен идентифицировать, где уязвимые данные находятся в организации. Компании должны знать, какие уязвимые данные присутствуют, где они расположены, куда они перемещаются в и у кого есть доступ к ним.Отчет также нашел, что, в то время как 58 процентов компаний используют третьих лиц для управления уязвимых данных, 48 процентов фактически не имеют в распоряжении стороннюю программу управления.
«Много компаний особенно, те в розничной торговле – осуществляют путем аутсорсинга процессы оплаты с помощью сторонних провайдеров, предоставляя им доступ к чувствительной информации о платежной карте», сказал Смит. «Все же они не знают то, что те провайдеры делают для защиты его».Проблема безопасной обработки платежей особенно важна, особенно в свете многих высококлассных утечек данных в ритейлерах в 2014. Смит предлагает, чтобы компании открыли линии связи со всеми сторонними провайдерами, которых они используют, так, чтобы каждая сторона знала свою ответственность когда дело доходит до защиты данных. Кроме того, он советовал, чтобы компании встроили требования к защите в свои договоры с третьими лицами.
В то время как компании не могли бы делать всех правильных вещей защитить данные, исследование Trustwave нашло, что существует высокая степень осведомленности когда дело доходит до юридической ответственности. Шестьдесят процентов компаний указали, что знают о своей юридической ответственности за то, что бережно хранили уязвимые данные. Исследование нашло, что только 21 процент компаний не имеет, имеют любое обучение осведомленности безопасности, означая, что большинство действительно фактически имеет в распоряжении некоторую форму программы обучения для безопасности.
Кроме того, большинство респондентов к исследованию указало, что средства управления принести свое собственное устройство (BYOD) существуют в своих компаниях. Только 38 процентов респондентов отметили, что нет никакого настоящего средств управления BYOD в их организациях.«Существует все еще значительное количество компаний, у которых нет политики безопасности и процедур, на месте окружающих BYOD», сказал Смит.Управление исправлениями является ключевой ролью наличия безопасного предприятия, все же исследование нашло, что 58 процентов компаний не имеют в распоряжении полностью зрелый процесс управления исправлениями.
Смит отметил, что во многих случаях существует фокус на реализации более сильных средств управления доступом, устройств предотвращения/обнаружения проникновения и другой безопасности периметра, отъезд исправления и обслуживание существующих систем ниже в списке приоритетов.«Может также быть проблема с унаследованными системами, которые могут не быть в месте, которое может быть исправлено и таким образом, организации не имеют в распоряжении процесс обновления», сказал он.Другое ключевое открытие от исследования состоит в том, что участие на уровне плат в безопасности компании сильно. Сорок пять процентов компаний имеют плату – или управление высшего уровня, кто берет частичную роль в вопросах безопасности.
Смит отметил, что безопасность является высокоуровневой вниз проблемой.«Каждое частное лицо в компании должно сделать его высшим приоритетом от технических специалистов по ИТ нетехническим сотрудникам и руководителям», сказал Смит. «Руководители C-уровня должны просить, чтобы их команда IT не только, ‘Наши данные была защищена?’, но также и, ‘Как наши данные защищают?
Какие средства управления существуют? Покажите мне’».
Шон Майкл Кернер является главным редактором eWEEK и InternetNews.com. Следуйте за ним в Твиттере @TechJournalist.