安全牛点评
与新冠病毒类似,不注意“数据卫生”的后果是非常可怕的。长期以来,企业数据安全的重点工作和投入都用在如何保障数据的机密性、一致性和可用性,而对于“勤洗手”——数据清理/销毁的投入和重视往往不够。在合规形势异常严峻的今天,如何正确地销毁数据,制定并实施数据清理政策,已经成了全球性的难题和重大隐患。而对于当下疫情期间面临全民远程办公BYOD威胁的中国企业来说,“数据卫生”问题尤为紧迫。比不知者无畏更可怕的是,大量企业的“知而不行”。
根据Blancco的一项全球调查,尽管受访的1850名大型组织高级领导者中有96%表示制定了数据清理政策,但高达31%的企业尚未在全公司范围进行沟通。
20%的受访者不相信自己的组织完成了数据清理策略的定义。总体而言,超过一半的组织(56%)没有适当的数据清理策略,无法在整个公司范围内进行有效的定期沟通,这增加了潜在的数据泄露风险。
根据调查, 22%的员工在离开公司时负责管理和控制自己的报废IT设备,另有22%的人将此职责交由直属经理负责。
如果没有将有效的数据清理政策传达给任何一方,擦除不力导致的敏感信息泄漏机会就会大大增加。此外,其他一些常见的“衰操作”也会放大数据泄露风险:
让资产/设备在仓库自生自灭
87%的全球企业承认在达到使用寿命时不对资产进行清理,而31%的企业报告称要花费一个多月的时间对这些设备进行清理。这使公司面临更大的设备丢失、失窃和数据泄露的风险。
异地擦除/销毁
34%的企业组织都在异地清理报废PC和笔记本电脑。与第三方提供商合作在异地清理/销毁设备不一定是一件坏事,但这确实带来了一定的风险,尤其是如果组织对IT资产的监管链没有完全通透的了解,并且无法证明他们的资产数据在运输过程中没有受到损害或非法访问。任何外部承包商都需要为这些企业报废资产的整个保管链和认证的擦除工作提供详细的审计追踪。
缺乏清晰明确的数据清理政策主体
尽管68%的受访者认为数据清理策略的所有权已在其组织内明确传达,但当被问及实施数据清洗政策的负责人时,有18%的企业认为是DPO,18%认为是运营主管,17%认为是IT运营主管,还有11%认为是CISO。缺乏明确的所有权可能表明,大多数企业都将数据清理看作是满足合规性或运营要求的“走形式”,而非真的意识到其数据风险。全球企业如此普遍地缺乏有效的数据清理政策令人震惊。如果企业不能在数据生命周期的每个阶段都有效地制定和传达这些策略,就有可能使大量潜在的敏感数据面临风险。企业的当务之急是将流程分配给高级领导团队,基于明确的所有权和可审计性进行控制,以减轻这些风险。
远程办公导致数据清理政策执行难
接受调查的企业中有三分之一还认为,企业的“敏捷员工”(例如远程办公)最不可能遵守数据清理政策,同时40%的企业认为承包商或自由职业者最不可能理解或遵守其数据清理政策。
围绕数据清理政策的实施,目前的问题不仅是缺乏明确的所有权,而且缺乏相关职责定义。
数据清理的职责通常散落在不同的工作角色中,包括合规主管(30%)、IT运营主管(15%)、运营主管(14%)、法律主管(11%)和DPO(9%),导致合规的碎片化和极高的罚款风险。
美国/加拿大的现状
在美国和加拿大,有33%的受访企业认为,在家中或远程工作的灵活工作者遵守数据清理策略的可能性最小,这意味着较大安全风险。美国和加拿大企业中有32%的员工在离开公司时负责管理和控制自己的报废IT设备。19%的人将此职责交由直属经理负责。
在美国和加拿大,三分之一(32%)的企业还表示,他们将让其合规负责人负责遵守其令人鼓舞的数据清理政策。但是,只有9%的受访者将此责任赋予了他们的DPO。
英国的现状
尽管有97%的英国公司制定了数据清理政策,但仍有超过三分之一(37%)尚未在整个企业中进行沟通。总体而言,近一半的公司(42%)没有适当的数据清理政策,无法在整个组织内进行有效且定期的沟通。英国公司中有20%的员工在离开组织时负责管理和控制自己的报废IT设备。35%的人将这一责任交给他们的直属经理。
令人担忧的是,有58%的英国企业还报告说不知道其组织的IT安全政策何时更新,有56%的企业不清楚其内容是什么,在所有接受调查的国家中都是最高的。
相关阅读
