Ponemon Institute及趨勢科技最新研究:

大部份企業數據外洩因員工而起

 

香港,2012年3月8日,由全球雲端安全領導者趨勢科技(TYO: 4704; TSE: 4704) 贊助Ponemon Institute進行研究並發表的<The Human Factor in Data Protection>報告指出, 很多數據外洩都是因為機構員工疏忽或蓄意造成。超過78% 受訪者指員工有意或無意的行為是數據外洩的主因,並指其機構於過去兩年內至少發生一宗數據外洩。請按這裏瀏覽報告全文。

數據外洩的三大起因,分別是員工遺失筆記簿電腦或其他流動數據儲存裝置(35%)、發生第三方不幸事故或失誤[1](32%),以及系統故障(29%)。此外,近70%受訪者同意或十分同意其機構現時的數據保安措施不足以抵禦針對性攻擊或黑客。是次調查訪問了709名美國資訊科技和資訊科技保安從業員。

報告顯示,56%受訪者指出,縱使員工無意犯錯,大部份數據外洩事件都只是意外被揭發,只有19%受訪者表示員工自行申報數據外洩事故,因此難以及時解決問題。37%受訪者表示外洩由審計或評估揭發,而36%受訪者表示外洩由數據保安技術發現。


中小企風險最大 

研究人員針對員工少於100人的企業進行獨立分析,結果顯示中小企員工不當處理數據的風險高於大型企業。總體來說,中小企的數據外洩發生比率為81%,略高於大型企業的78%,原因是員工未有妥善處理敏感數據。

報告顯示中小企員工較多作出「高風險」行為;58%中小企員工表示會或曾經開啟濫發訊息內的附件或網站連結,而大企業內只有39%員工作出此等行徑;77%中小企員工表示會或曾經隨意放置已開啟的電腦,只有62%大企業員工有此行徑。是次調查並發現超過半數(55%)中小企員工較可能違規瀏覽受限制的網站,有此習慣的大企業員工只有43%。

大部份(65%)較小型機構表示,其機構內的敏感或機密業務訊息一般沒有加密,亦沒有部署數據損失防護技術。此外,較小型機構員工花時間進行數據防護或安裝適當技術來避免數據損失的比率亦較低:62%機構相信他們未有受到保護,當中,65%認為是由於有關技術過於昂貴,54%則認為這些技術太複雜。


Ponemon Institute主席兼創辦人Larry Ponemon博士指出:「總括而言,機構內工作團隊流動性提高、流動數據儲存裝置大行其道、資訊科技消費化(consumerization)及員工在工作期間瀏覽社交媒體,都對企業構成越來越大的保安威脅。我們觀察到大部份受訪者均相信其公司仍未作出足夠努力,以確保數據保安基礎設施獲得有效保護及對抗黑客和針對性攻擊。保障數據安全的關鍵就是結合以數據為中心的保安技術、教育和提高員工意識 。」

減低人為因素風險的有效建議 

  • 現今的後PC年代,數據和裝置都很容易暴露於外,機構要以新思維來看待數據安全,把焦點集中於「以數據為本」的保安措施,在一個統一框架內結合威脅和數據防護,清楚知道何人在何時何地以那種方式存取甚麼數據。
  • 喚起員工和其他內部人士的注意,提醒他們需要投入更多時間和努力來保護數據。
  • 確保數據保安政策能針對機構數據可能外洩的弱點。
  • 研究各種高效率和高成本效益的管理和技術方案,例如以電郵為基礎的數據損失預防方案、電郵加密和安全檔案共享方案。
  • 確保所有擁有高階存取權限的用戶都清楚知道有關風險。
  • 若儲存了敏感和機密資訊的流動裝置遺失或被竊,需立即通報。
  • 制定政策,規管在工作間使用社交媒體的行為。

參考資訊 

參閱報告全文,請瀏覽http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ponemon-survey-2012.pdf
參閱報告撮要,請瀏覽http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt_trend-micro_ponemon-executive-summary.pdf
免費使用網上數據安全風險計算機:http://www.trendmicro.com/datariskcalculator
免費閱覽講解中小企損失關鍵數據的原因之著作,請瀏覽http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/white-papers/sb_5-reasons-why-small-business-lose-critical-data.pdf

調查方法               


是次調查訪問了美國709位資訊科技或資訊科技安全從業員,他們平均擁有10年以上相關經驗,而且全部都在機構數據保護工作有一定程度的參與。45%受訪者在機構內擔任經理或更高級職位。78%受訪者屬於員工人數由100至5,000人的機構。Ponemon亦研究了較大型(超過100人)和較小型(中小企業)機構在人為因素風險方面的差別。

[1]根據Ponemon的定義:原有機構單位以外的第三方供應商管有另一間公司的數據時情況下,這些數據因不明原因遺失或失竊。

關於趨勢科技 

趨勢科技股份有限公司 (TSE:4704) 是全球雲端安全的領導廠商,致力於保障企業與消費者數位資訊交換環境的安全。 趨勢科技是業界的技術先驅,在伺服器安全領域擁有超過 20 年的經驗領先的整合式資安威脅管理技術能遏阻惡意程式、垃圾郵件、資料外洩以及最新的 Web 資安威脅,確保營運作業不中斷,保障個人資訊與財產的安全。請造訪 TrendWatch 查詢資安威脅詳細資訊,網址是:www.trendmicro.com/go/trendwatch。本公司彈性化的解決方案有多種型態可供選擇,而且還有全球資安威脅情資專家提供 24 小時全年無休的支援服務。 本公司許多解決方案均以 Trend Micro Smart Protection Network 為基礎,這是涵蓋閘道外廣大空間與用戶端的新一代內容安全基礎架構,專為協助客戶防範 Web 資安威脅所設計。 趨勢科技是總部位於東京的跨國企業,其備受信賴的安全解決方案透過其業務合作夥伴行銷全球。 請造訪 www.trendmicro.com 


關於Ponemon Institute 

Ponemon Institute© 致力協助企業及政府推動資訊和私隱管理實踐。為實現這一目的,Ponemon Institute進行獨立研究並培訓私營企業和公共機構管理層,亦為不同行業的企業私隱和數據保護實踐提供認證。有關Ponemon Institute的更多資訊,請瀏覽: www.ponemon.org

 

 



Arlo Pro 網絡攝錄鏡頭 - 防水、內置電池、無線
詳情請點擊:http://www.anlander.com


此文章首發於 TechRitual;標題:Ponemon Institute及趨勢科技最新研究:大部份企業數據外洩因員工而起;內容贊助:NETGEAR orbi,Mesh WiFi 子母機設計打通村屋