Egress的一份新报告称,员工既是防止公司数据丢失的最佳屏障,也是造成这一问题的最大原因。
在第二次全球内部数据泄露调查中,IT领导者发现,78%的人认为员工在过去12个月里不小心将数据置于危险之中,75%的人认为员工是故意将数据置于危险之中。
与此同时,58%的管理人员表示,员工报告比任何违约检测系统都更有可能提醒他们内部数据被泄露。
大约一半的IT领导者表示,他们正在使用杀毒软件来对抗钓鱼攻击,48%使用电子邮件加密,47%提供安全的协作工具。
参见:如何让用户使用基本的安全措施(免费PDF)
Egress首席执行长托尼•佩珀(Tony Pepper)说,他认为这表明,IT行业的领导者已经接受了内部信息泄露不可避免的事实,并没有进行足够的风险管理。
他说:“实际上,他们采取了一种风险姿态,即至少三分之一的员工将数据置于风险之中是可以接受的。”
调查还发现,在过去一年里,高级员工最有可能违反公司政策,故意分享数据,78%的人这样做,相比之下,只有10%的行政人员这么做。
董事们最有可能带着数据跳槽——68%的董事在换工作时带着数据,而总体平均水平为46%。
第二份年度调查研究内部保安违规事件的成因、发生频率和影响,以及资讯科技管理人员和雇员对风险、责任和拥有权的看法。
Egress除了向经理询问有关数据安全的问题外,还向员工询问相关话题。这项面向员工的调查发现,29%的受访者表示,他们或一名同事在过去一年里故意违反公司政策共享数据。
当被问及数据所有权和责任时,41%的受访员工表示数据属于创建信息的部门和团队,61%的董事同意这一观点。22%的人表示,公司的所有员工都有权使用这些数据,而不仅仅是创建这些数据的人。
“员工希望拥有自己创建和处理的数据,但不想承担保护数据安全的责任,这对数据保护工作来说是有害的组合,”Pepper说。
报告作者还指出,向远程工作的转变可能会对数据所有权的想法产生心理影响,并导致员工对自己开发的数据形成一种更专有的态度。
尽管一些员工不清楚谁拥有公司的数据,但46%的人说,他们离开公司去新公司工作时带走了数据,这明显违反了公司的政策。
在制定保护数据不受内部泄露的战略之前,IT领导者必须了解哪些数据有风险。接受调查的经理们表示,员工数据和知识产权最容易受到有意或无意的侵犯。
网络钓鱼是经理们无意中违规的最大原因,61%的董事说他们上当了,44%的行政人员说他们错误地把数据发给了错误的人。
在今年的调查中,经理们更担心的是内部违约的财务影响,41%的经理将其列为内部违约的最大风险,而去年的调查中这一比例为27%。经理们对声誉损失的担忧略低,有31%的经理认为这是信息泄露的最大风险,而去年这一比例为38%。
研究机构Opinion Matters在2020年1月进行了这项调查,调查对象包括英国、美国、比利时、荷兰和卢森堡的500名IT领导者和5000名员工。