我們最近對安全領(lǐng)導(dǎo)者和CISO進行了關(guān)于數(shù)據(jù)安全優(yōu)先事項和挑戰(zhàn)的調(diào)查,我們發(fā)現(xiàn)超過70%的受訪者所在的企業(yè)使用50個或更多的SaaS解決方案,近三分之一的受訪者表示他們的企業(yè)SaaS環(huán)境中包含200個或更多的應(yīng)用程序。
隨著員工、客戶、供應(yīng)商和合作伙伴使用如此多的云技術(shù)平臺,各行業(yè)的數(shù)據(jù)安全事件大幅上升也就不足為奇了。Verizon發(fā)布的2024年數(shù)據(jù)泄露調(diào)查報告發(fā)現(xiàn),68%的數(shù)據(jù)泄露“涉及非惡意的人為因素,比如有人成為社交攻擊的受害者或犯下錯誤。”
如何擴展數(shù)據(jù)安全工作
無論你的企業(yè)規(guī)模如何,如果使用協(xié)作工作應(yīng)用程序,你的安全團隊都應(yīng)采用“人力防火墻”協(xié)議。
“人工防火墻”是培訓(xùn)與技術(shù)的結(jié)合,賦能所有員工來保護公司的網(wǎng)絡(luò)和系統(tǒng),這要求每個人都具備基本的數(shù)據(jù)安全威脅知識,并在發(fā)生可疑活動時及時發(fā)出警報。
關(guān)鍵在于確保全體員工理解數(shù)據(jù)安全漏洞的性質(zhì),并能夠在網(wǎng)絡(luò)安全威脅演變?yōu)槿婀糁白R別它。
教育全體員工了解數(shù)據(jù)安全風(fēng)險和威脅,并將他們納入你的網(wǎng)絡(luò)安全策略,這是擴展數(shù)據(jù)安全工作的第一步,也是減少那些可能導(dǎo)致嚴(yán)重網(wǎng)絡(luò)攻擊的無意錯誤的第一步。
第二步是利用安全工具實現(xiàn)實時、動態(tài)警報,當(dāng)員工在不安全的平臺上共享敏感信息或無意中造成網(wǎng)絡(luò)安全風(fēng)險時,這些工具可以通知他們。
另一個關(guān)鍵策略是:在企業(yè)內(nèi)部為下載和使用協(xié)作SaaS應(yīng)用程序制定明確的政策。
我們調(diào)查的CISO中有69%確認(rèn)他們的企業(yè)允許員工與外部人員共享協(xié)作工作平臺和工具的訪問權(quán)限。協(xié)作SaaS應(yīng)用對于完成工作至關(guān)重要,但它們也會導(dǎo)致高風(fēng)險的環(huán)境,因此,由公司的安全團隊或IT團隊制定和維護應(yīng)用程序下載與使用政策是非常重要的。(我們的調(diào)查發(fā)現(xiàn),62%的CISO表示他們的SaaS政策要求應(yīng)用程序必須由安全團隊直接批準(zhǔn)。)
生產(chǎn)力與數(shù)據(jù)安全可以并行
企業(yè)的生產(chǎn)力水平與協(xié)作SaaS應(yīng)用緊密相關(guān),然而,協(xié)作SaaS工作環(huán)境可能會產(chǎn)生網(wǎng)絡(luò)犯罪分子常常瞄準(zhǔn)的高風(fēng)險漏洞。可以說,這些應(yīng)用是安全團隊實施“人工防火墻”策略的最有力理由之一。
隨著如此多人使用和訪問眾多協(xié)作工作工具,員工必須具備識別安全風(fēng)險的能力,而安全團隊也必須能夠使用數(shù)據(jù)安全工具,使整個員工隊伍成為公司安全戰(zhàn)略的一部分。
CISO們明白,網(wǎng)絡(luò)安全事件是不可避免的。我們的調(diào)查顯示,受訪者最常遇到的網(wǎng)絡(luò)安全事件類型包括惡意軟件攻擊、網(wǎng)絡(luò)釣魚騙局、憑證泄露和數(shù)據(jù)泄露——這些網(wǎng)絡(luò)安全事件通常可以追溯到人為錯誤。超過一半的受訪者確認(rèn)他們偶爾或經(jīng)常經(jīng)歷此類事件,因此,79%的受訪者表示他們計劃在未來一年優(yōu)先考慮安全意識和培訓(xùn)的提升,這也不足為奇。
然而,僅僅依靠安全意識和培訓(xùn)并不足以確保你的SaaS應(yīng)用網(wǎng)絡(luò)的安全。采用“人工防火墻”策略并實施能夠為SaaS環(huán)境提供可見性的數(shù)據(jù)安全工具,是全面數(shù)據(jù)安全計劃的基礎(chǔ)。最重要的是,這使你的企業(yè)能夠在不犧牲數(shù)據(jù)安全的情況下維持高水平的生產(chǎn)力。
企業(yè)網(wǎng)D1net(hfnxjk.com):
國內(nèi)主流的to B IT門戶,旗下運營國內(nèi)最大的甲方CIO專家?guī)旌椭橇敵黾吧缃黄脚_-信眾智(www.cioall.com)。旗下運營19個IT行業(yè)公眾號(微信搜索D1net即可關(guān)注)。
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需在文章開頭注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責(zé)任的權(quán)利。
京公網(wǎng)安備 11010502049343號