在應(yīng)對數(shù)據(jù)泄露帶來的日益嚴(yán)重的威脅時(shí)，大多數(shù)組織都認(rèn)為合規(guī)性至關(guān)重要。隨著針對政府，小型企業(yè)和其他重要基礎(chǔ)架構(gòu)的網(wǎng)絡(luò)犯罪分子的出現(xiàn)，將這些攻擊的影響降到最低的需求空前高漲。但是，與普遍的看法相反，僅遵守已制定的規(guī)則和法規(guī)將不再削減數(shù)據(jù)泄露事件的發(fā)生。由605名受訪者進(jìn)行的調(diào)查發(fā)現(xiàn)，不斷受到威脅的數(shù)據(jù)泄露威脅以及合規(guī)性不是保證組織安全的關(guān)鍵，這可以證明這一點(diǎn)。

此外，大多數(shù)受訪者都從中型組織到小型組織，并在各自公司中占據(jù)安全和IT職位。在了解調(diào)查的主要發(fā)現(xiàn)之前，讓我們看一下數(shù)據(jù)泄露背后的主要原因，尤其是在組織中。

　　是什么導(dǎo)致組織中的數(shù)據(jù)泄露？

就組織的網(wǎng)絡(luò)安全基礎(chǔ)結(jié)構(gòu)而言，僅安全性只是IT部門的責(zé)任這一觀念已經(jīng)過時(shí)了。隨著網(wǎng)絡(luò)犯罪的復(fù)雜性不斷發(fā)展，組織的員工在對抗數(shù)據(jù)泄露和黑客攻擊的良好斗爭中也起著關(guān)鍵作用。

為了證明上述觀點(diǎn)，調(diào)查結(jié)果顯示，有41.14%的受訪者全心全意地認(rèn)為，未經(jīng)培訓(xùn)或訓(xùn)練有素的員工是造成數(shù)據(jù)泄露的根本原因。此外，在接受未經(jīng)培訓(xùn)的員工之后，有17.73%的受訪者同意缺乏技術(shù)保障和安全流程會導(dǎo)致數(shù)據(jù)泄露。

根據(jù)調(diào)查的受訪者，不遵守監(jiān)管法律被視為違規(guī)的最重要原因。

　　記住調(diào)查的結(jié)果，可以對被調(diào)查者的答案做出以下假設(shè)：

使用網(wǎng)絡(luò)罪犯攻擊組織的最常用工具包括發(fā)動社會工程攻擊和針對技術(shù)漏洞的攻擊-兩者都利用了員工缺乏網(wǎng)絡(luò)安全培訓(xùn)的情況。

就遵守?cái)?shù)據(jù)法規(guī)而言，組織應(yīng)更多地專注于創(chuàng)建有效的風(fēng)險(xiǎn)管理策略，而不是盲目遵守規(guī)則。由于法規(guī)數(shù)據(jù)規(guī)則不可能包含所有情況的解決方案，因此組織必須具有適當(dāng)?shù)娘L(fēng)險(xiǎn)管理方法。

企業(yè)不應(yīng)盲目合規(guī)，而應(yīng)專注于分析其網(wǎng)絡(luò)安全基礎(chǔ)架構(gòu)中的當(dāng)前漏洞，包括將物理安全要素以及數(shù)據(jù)加密和身份驗(yàn)證納入其安全策略中。

　　對組織而言，合規(guī)性比安全性更重要嗎？

當(dāng)受訪者被問及公司對網(wǎng)絡(luò)安全或合規(guī)性的傾向時(shí)，驚人的61.98%的受訪者回答說，安全性和合規(guī)性同等重要，應(yīng)給予同樣的重視。

在對合規(guī)性與安全性之間的關(guān)系的回答中也可以看出，調(diào)查受訪者強(qiáng)調(diào)合規(guī)性與組織整體安全性之間的聯(lián)系。高達(dá)84%的受訪者同意，法規(guī)遵從性和網(wǎng)絡(luò)安全性的實(shí)施緊密相關(guān)。

　　根據(jù)調(diào)查對象的回答，可以假設(shè)以下基本概念：

企業(yè)不應(yīng)將對數(shù)據(jù)法規(guī)的遵守與在組織中實(shí)施安全性完全不同，而應(yīng)將重點(diǎn)放在它們之間的相關(guān)性上。

此外，受訪者對安全性與合規(guī)性之間關(guān)系的回答可能還基于這樣一個(gè)事實(shí)，即在實(shí)施新的安全措施時(shí)，大多數(shù)安全管理者需要考慮法律和其他法律協(xié)議。

對于希望組織平等對待合規(guī)性和安全性的62%的受訪者而言，為了使遵守規(guī)則和實(shí)施安全性具有同等重要的意義，組織還需要設(shè)定一個(gè)特定的基準(zhǔn)以使供應(yīng)商滿意。

在這些基準(zhǔn)規(guī)則中，公司需要考慮使審計(jì)師和其他第三方滿意其安全決策，并尋求維護(hù)基本的安全目標(biāo)，例如最大程度地減少網(wǎng)絡(luò)犯罪事件，同時(shí)仍然最大程度地利用新的商機(jī)和目標(biāo)。

　　在組織內(nèi)部制定安全性和合規(guī)性時(shí)，最大的擔(dān)憂是什么？

盡管培訓(xùn)員工和在組織內(nèi)培養(yǎng)更具網(wǎng)絡(luò)安全意識的環(huán)境的做法似乎對于解決數(shù)據(jù)泄露和黑客攻擊的持續(xù)風(fēng)險(xiǎn)似乎是一種實(shí)用的解決方案，但說起來容易做起來難。

此外，當(dāng)605名受訪者被問及迫切的合規(guī)性和安全性問題時(shí)，他們中的大多數(shù)人將數(shù)據(jù)泄露對組織聲譽(yù)的危害列為首選。

違反行為對公司聲譽(yù)造成的損害之后，立即導(dǎo)致員工缺乏安全教育和網(wǎng)絡(luò)安全意識，并擔(dān)心網(wǎng)絡(luò)犯罪分子可能會采用新的黑客手段。

調(diào)查的結(jié)果揭示了許多員工具有神圣性的基本信念，即他們工作的組織是一個(gè)聲譽(yù)良好的組織。此外，聲譽(yù)是一個(gè)需要數(shù)年才能培養(yǎng)的概念。甚至發(fā)生數(shù)據(jù)泄露的可能性也可能破壞這種信念，并使組織的價(jià)值貶值至零。

受訪者的回答還證明了員工在準(zhǔn)備潛在的違規(guī)或網(wǎng)絡(luò)犯罪方面存在的巨大缺陷。為了營造有意識的網(wǎng)絡(luò)安全環(huán)境，組織需要更加關(guān)注涉及每個(gè)人的安全措施。

組織可以敦促員工采取的一些簡單的安全措施包括：

安裝反病毒軟件并經(jīng)常更新。

檢查“粗略”電子郵件是否存在任何可疑鏈接，因?yàn)樗鼈兒芸赡軐阂廛浖烷g諜軟件傳播到公司的網(wǎng)絡(luò)中。

避免瀏覽任何列入黑名單的網(wǎng)站。

禁止通過USB閃存驅(qū)動器傳輸文件，因?yàn)樗鼈兪莻鞑ゲ《竞蛺阂廛浖募淖畛Ｒ娒浇椤?/p>

通過上述介紹，合規(guī)性是否能保證不會發(fā)生數(shù)據(jù)泄露事件相信大家已經(jīng)清楚了吧，想了解更多關(guān)于數(shù)據(jù)安全的信息，請繼續(xù)關(guān)注中培偉業(yè)。