企业数据安全普遍存在哪些问题
企业数据安全普遍存在以下问题:
数据泄露:人们通常把数据泄露与黑客攻击联系起来,但其实两者之间没有必然联系。很多数据泄露事件源于疏忽等导致的意外事件。40%的高级管理人员和小企业主表示,疏忽和意外损失是他们最近一次安全事件的根本原因。比如员工不小心将内部文件发送给公众等。
数据不一致:由于企业内数据存在不一致性,导致企业大量的资源浪费,包括时间、金钱和人力等。花费时间和精力用于判断企业内一个客户的真正地址或者其他基础信息到底是什么并不能增加企业的收入,而且非常不幸的是,因为没有一个好的存储机制用来保存比对过的客户数据,这种客户数据进行一致处理的过程需要多次反复。
数据冗余:大多数企业没有专业的数据管理平台,企业内的每一个系统、应用,甚至每个业务部门都会有各自的数据信息。最普遍的例子就是对客户数据的收集,客户的关键属性如客户名称、地址等信息在企业内各个角落都被重复记录着。在这个收集客户信息的过程中,很少会产生相同或者一致的结果。这就导致了数据冗余和数据质量过差的问题出现。
业务低效:散乱的数据会导致各种业务低效的情况发生,如低效的供应链管理,不一致的客户待遇,客户满意度低等。一个采购人员需要综合几个业务系统去判断一个物料的真实面目,这不仅是低效的,而且很有可能由于信息的不全导致采购的物料无法满足生产部门的需求,造成生产进度的不可控,无法按期交付商品给客户,散乱的数据管理严重降低了企业的效率,从而降低企业的市场竞争力。
不适应业务变化:企业内的业务经常发生各种变化,如引入新的产品和服务,公司的业务重组和新技术的应用。这些企业内的各种变化都会导致企业数据的变化,如果没有一套机制来管理这些变化,企业在数据不一致、不完整、不合规、数据冗余、业务低效等方面的问题就会不断地加剧。
员工故意泄露:员工泄露数据有两种可能,一是企业内部员工携带重要文件跳槽,据有关资料显示,我国商业秘密刑事案件中,60%与人员跳槽有关,而在商业秘密侵权的民事案件中,90%与人员流动有关。二是商业间谍,蛰伏在企业很长一段时间利用自身权限获取公司数据机密。
黑客针对攻击:黑客往往会对有价值的对象发起攻击。也有网络犯罪集团专门攻击各种公司获取金融数据或其PoS基础设施,或针对金融机构其访问权限进行攻击。黑客组织利用出售数据或勒索受害方支付赎金的方式肆意敛财。
企业加强数据安全的措施有以下这些:
提高企业人员数据安全意识:据报告,很多企业信息泄露时间的发生,很多时候是因为缺乏安全意识,所以一定要提高企业人员数据安全意识。例如定期进行安全意识的宣导,强化员工对信息安全的认知,引导员工积极执行企业保密制度。
建立文件保密分级保密制度:企业成立运营后会产生一系列的文件,所以要对文件进行分级分类保密管理等。例如与核心人员签订竞业协议或保密协议,以合同的法律效应,有效防止核心机密的泄露;格控制便签、笔记本、文件袋等办公用品的摆放,及时清理和归档,避免因此造成的泄密;推行无纸化办公,尽量减少文件的打印,避免文件随意打印造成的信息泄露;定期进行信息安全检查,全员参与查漏补缺,逐步完善企业保密制度等等。
按照规定过等保:数据安全保护的基础是对数据承载环境的安全保护。因此运营者应依据网络安全等级保护政策和标准要求开展安全建设工作,保证等级保护对象满足相应等级的安全要求。关键信息基础设施运营者还应在等级保护工作基础上开展关键信息基础设施安全保护工作。
建立完善的数据安全组织架构、制度流程和培训考核机制:根据《中华人民共和国数据安全法》要求,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任,建立健全全流程数据安全管理制度,组织开展数据安全教育培训。运营者应根据法律法规要求及组织内部实际情况,充分落实安全管理要求,保证数据安全通过正确、规范、逻辑闭环的数据安全管理体系进行要求和执行。
增加企业安全数据工具:可以根据公司需求选择适合公司的数据安全工具,例如堡垒机、防火墙、数据库审计、文档加密、杀毒软件等等。这里重点推荐堡垒机,堡垒机即在一个特定的网络环境下,为了保障网络和数据不受来自外部和内部用户的入侵和破坏,而运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。目前市面上堡垒机品牌比较多,不同品牌特性也是不同的。