舉個例子,在2021年年中,94%的接受調查的企業報告說,他們遭受過內部數據泄露。一年后,根據《哈佛商業評論》的數據,在第二次調查中,67%的受訪員工承認他們沒有遵守公司的網絡安全政策。
員工不遵守(或在某些情況下,缺乏知識)安全和治理政策是越來越多的公司使用社會工程審計來審查用戶部門實踐的原因之一,治理失誤的另一個原因是員工壓力,根據蓋洛普的數據,2023年員工壓力占所有員工的44%。
公司不想要壓力過大的員工,但他們也不想要糟糕的數據治理,而且他們知道數據治理不是IT可以獨立完成的工作。
問題是:期望員工和用戶部門自己進行數據治理策略有多現實?
非侵入性治理的目標
數據治理要求用戶遵守策略,但同樣重要的挑戰是使數據治理對用戶盡可能非侵入性。用戶不想得到新的任務,這些任務似乎是他們的工作職責之外的。因此,通過用戶每天都在做的事情來看待數據治理是有意義的。
以下是一些最佳實踐:
用戶經理負責向IT部門提供其員工名單,以及每位員工所需的IT資源授權級別。用戶經理還負責讓人力資源和IT部門知道任何調到其他用戶部門或離開公司的員工,以便更改或取消對這些人員的授權。
現在,大多數公司的標準做法是,用戶區域的員工立即報告任何不尋常的電子郵件,以便IT部門可以調查這些電子郵件的合法性。
在許多情況下,IT部門已經將所有工作人員的系統使用情況月度報告發送給各自的管理人員進行審查。報告的目的是讓經理檢查員工系統的使用情況是否有任何異常。
所有這些步驟都有助于維護企業數據治理,它們也是用戶經常執行的任務。
非侵入性數據治理策略的目標是確保用戶繼續做他們已經在做的事情,同時避免向用戶工作負載添加新的數據治理任務。
使用IT自動化
使數據治理對用戶非侵入性的另一種方法是使用自動化軟件來實施數據治理。
自動化解決方案可用于以下操作:
多因素身份驗證,需要用戶登錄到IT資源,而不僅僅是用戶ID和密碼(例如,通過添加第三個元素,如生物識別)。
數據清理和準備工具,在將數據納入中央數據存儲庫之前,審查并確保數據格式正確、準確,并能夠與中央數據存儲庫中的其他形式的數據集成。
自動跟蹤和跟蹤工具,可以檢測和監控網絡中所有點的用戶活動,并在檢測到使用異常時立即發出警報。
部署零信任網絡,不僅保護網絡的外部邊界,而且保護只有特定用戶有權訪問的特定IT系統和資產的內部邊界。
SD WAN (軟件定義廣域網)和SASE(安全訪問服務邊緣)解決方案,將數據安全擴展到內部企業網絡之外,并提供高級工具和自動化,以確保基于云的數據操作安全。
自動軟件安全更新,可將更新推送到最終用戶設備。
IT設備跟蹤功能,可定位丟失或放錯位置的設備并將其關閉。
從云到云以及從云到數據中心的數據加密,確保數據在傳輸過程中的安全。
還能做些什么呢?
上面引用的《哈佛商業評論》的研究指出,當員工故意違反公司安全和治理政策時,最常見的三個原因是“為了更好地完成我的工作任務”、“為了得到我需要的東西”和“幫助別人完成他們的工作”。
通過使用自動化,并確保盡可能不再要求用戶超出他們通常為數據安全和隱私所做的工作,IT可以使數據治理對用戶盡可能地非侵入性。
然而,有一個警告:不能免除用戶在數據治理中的所有參與和責任。
遵循政策是確保健全數據治理的最佳方法,但定期執行第三方社會工程審計應該是另一種方法。
用戶參與這些審計只是一個小小的“要求”,如果它可以為一家公司節省數百萬甚至數十億美元的緩解費用,那么它肯定是值得的。
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,同時在運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。同時運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號