调查显示企业存在深层威胁 30%曾泄露机密信息

【51CTO.com独家特稿】企业中有越来越多的数据被内部人员泄露出来，而管理者却不知道该如何处理这样的事情。Ponemon研究所和企业战略集团分别进行了两个新的研究，他们今天已经公布了研究结果。两个研究结论都表明，企业应该把对安全方面的关注从外部转向内部。Eric Ogren是企业战略集团的一个分析人员，同时也是这个研究的参与者之一。他说，“内部威胁无疑是首要的威胁。”

企业战略集团的新研究报告发现，接受调查的公司中，有三分之一的公司在去年一年中有高度机密的信息被泄露，而另外有11%的公司则不确定是否出现过这样的侵害。

根据Ponemen的新研究，有近60%美国本土的商业与政府机构认为，他们没有办法对组织内的内部威胁风险进行有效的评估，也无法确定这个风险是多大，因此使他们面对诸如隐私泄露、审计失败、潜在的诈骗行为以及数据滥用等的威胁。

两个研究报告在企业内部安全的近期情况上达成了共识，他们提供了不同的建议，让企业了解他们该如何应对这个问题。企业战略集团研究是由信息监督与应用保护产品厂商Reconnex发起的，该研究在结论里建议，90%的公司在接下去的一年里应该制定一个计划，部署新的技术来保护他们的知识产权。

Ogren还说：“我对那个数据感到很意外，因为是个巨大的数字。”

ESG（企业战略集团）研究表明，58%的公司认为对他们的数据来说，最大的威胁就是来自于内部了。当前大部分公司对内部威胁的预防都集中在电子邮件安全上，其实他们同时还应该对其他方面给与关注。根据该报告，有三分之一公司的机密数据以及IP都是从应用数据库泄露的，而这完全可以通过中央系统进行管理和得到安全保障。另外，有28%的公司，他们的数据泄露问题存在于文件系统。

根据ESG的报告，仍然有一些组织没有注意到这些显而易见的数据泄露点，比如Webmail与IM通讯。Ponemon研究是由验证管理厂商Sail Point Technologies发起。该研究则认为，企业中此种风险的主要原因包括低效率的过程、不充分的评估以及商业与IT团队之间缺乏合作。报告中陈述，64%的调查对象说，他们已经部署了一个身份验证与评估管理的解决方案，包括访问控制(access control)、密码管理(Password management)、预防措施（provisioning）与职责管理（role management）。但是几乎有60%的调查对象说，他们公司没有能力在最大的商业风险领域里进行有效的IAM控制。

尽管Ponemon研究中的调查对象都说，建立身份验证体系的责任应由商业机构、IT与审计机构共同承担，但是这三者之间的合作却非常弱。42%的被调查者说，这样的合作很少发生，同时，有23%则说根本还没有这样的合作。Larry Ponemon 是Ponemon研究所的主席，同时也是其建立者，他说：“为了评估风险、身份及地址验证管理的缺点，机构必须能访问到相关的数据，其下属的子机构还要进行适当的协调。我们的研究表明，对太多的公司来说，这并不容易。”

【51CTO.COM独家特稿，转载请注明出处及作者！】

责任编辑 赵毅 zhaoyi#51cto.com TEL:（010）68476636-8001