CSA发布|《洞察2022 云上数据安全与重要事项 》
云安全联盟大中华区就云上数据安全和重要事项的洞察和建议等相关问题展开调查并发布《洞察2022 云上数据安全与重要事项 》(以下简称《报告》)。报告的主要内容是关于云上数据安全和重要事项的洞察和建议。它包括了对云安全现状的分析、云安全风险的评估、云安全最佳实践的介绍以及未来云安全发展趋势的预测。这项调查,收到了1633份回复,分别来自于不同规模、不同地点组织内的信息技术和安全专业人员。云安全联盟大中华区就这份报告进行了数据分析和说明,总结了五大研究目标和四大重要发现。(原报告中的解读更为详细。建议想要更具体地了解详情的读者朋友进一步做阅读)
微信搜索“国际云安全联盟”公众号,回复关键词“数据安全”即可获取报告完整版
五大研究目标
-
实现云数据安全的方法
-
云数据安全的优先事项
-
敏感数据和暗数据的当前状态
-
对数据泄露的担忧
-
法律合规的困难
· 在“实现云数据安全的方法”和“云数据安全的优先事项”目标中,分析了各组织所使用的数据安全功能,高优先级数据安全产品功能,当前的数据互操作性方法和理想的数据互操作性方法;
· 在“敏感数据和暗数据的当前状态”目标中,分析了保护云上数据的能力信心,云上敏感数据足够安全性的比例分布和可访问敏感数据的员工比例分布;
· 在“暗数据问题源于人员配置问题和部门间的冲突”目标中,更多是针对暗数据本身,SaaS平台追踪数据的难度等级,暗数据扩散和捕获暗数据等角度进行了分析;
· 在“对数据泄露的担忧”目标中,描述了过去12个月内的云上数据泄露和对未来12个月云上发生数据泄露的可能性预判,还有数据泄露的影响分析;
· 最后,在“法律合规的困难”目标中,阐述了监管合规的难度水平并强调了与第三方供应商进行安全合规认证的重要性。
四大重要发现
1.各组织正在努力保护和跟踪云中的敏感数据;并分析了组织在云上保护数据能力的信心度和SaaS平台中跟踪数据的难度构成级别
总体而言,组织对其在云上保护数据的能力缺乏信心,报告显示,39%的组织有较高的信心。超过一半的组织(57%)表示其信心处于中等至较低水平。当讨论敏感数据时,明显更加缺乏信心。40%的组织表示,他们在云上的敏感数据只有50%或更少具有足够的安全性。只有4%的组织表示,他们在云端的所有数据具有足够的安全保障。这一发现表明,组织通常对自己保护数据的能力有一定的信心,但在涉及敏感数据时却举步维艰。
组织在云上保护数据能力的信心度
在您看来,您的组织中有多少敏感数据是在云上得到了充分保护的?
除了努力保护敏感数据,组织还在努力跟踪云上的数据。超过四分之一的组织没有跟踪受监管的数据,近三分之一的组织没有跟踪机密数据或内部数据,45%的组织没有跟踪未分类数据。这表明,组织目前对数据进行分类的方法不足以满足他们的需求。
对于SaaS平台,76%的组织将跟踪数据的困难级别评为中级到高级。只有7%的组织表示跟踪数据根本不是问题。当考虑到组织在SaaS平台中拥有的敏感数据量时,数据跟踪的难度尤其令人担忧。
这些数据跟踪方面的难题可能与缺乏使用数据分类和发现机制有关,只有9%的组织使用这些功能。以上功能缺乏可能与缺乏能力(52%)和缺乏跨平台支持(41%)有关,这些都是需要选择第三方云数据安全供应商的原因。无论如何,使用数据分类和发现机制将使组织能够更好地跟踪其数据。
SaaS 平台中跟踪数据的难度构成级别
云上被跟踪的数据
2.第三方和供应商对敏感数据的访问权限相似
组织似乎向员工、承包商、合作伙伴和供应商提供了几乎相同级别的敏感数据访问权限。这一发现表明,第三方和供应商可能对组织的敏感数据有过多的访问权限,尤其是考虑到最近热门的供应链攻击。在CSA最近的一份关于云和网络攻击的调查报告中发现,第三方、承包商和合作伙伴是攻击中最常见的目标群体(58%)。此外,根据科罗拉多州立大学的一项研究,2/3的违规行为是由供应商和第三方漏洞造成的。考虑到这些影响的严重性,组织需要了解谁有权访问其敏感数据,并锁定访问权限,特别是第三方的访问权限。
3.暗数据问题源于人员配置问题和部门间的冲突
超过一半的组织(79%)对其组织中的暗数据扩散有中度到高度的担忧,但不确定如何解决这一问题。组织获取暗数据的三大障碍与人员配置有关:技能和知识的不足(50%)、缺乏跨部门合作(47%)和人力资源不足(44%)。组织需要致力于培训员工,并优先考虑能够弥补人员缺口的技术。此外,组织需定义一种统一的方法来处理暗数据,以避免孤立部门的优先事项相互竞争。建立单一的数据源(例如数据清单)可以为不同的部门提供他们所需的基础知识,以便他们更紧密地工作。
4.大多数安全专业人士认为,他们的企业明年将会遭遇数据泄露。并例举了受访者的反馈信心数据
62% 的组织称他们在未来一年某种程度上极有可能遭遇云数据泄露。鉴于在过去的12个月里有大量的组织遭遇过云数据泄露事件,人们对未来12个月发生的未遂泄露有更大的担忧是有道理的。对于过去12个月没有遭遇过入侵的组织,22%的受访者表示,未来12个月发生入侵的可能性非常小。经历过数据泄露的组织认为,数据泄露的可能性更大,只有8%发生过泄密的组织受访者表示未来12个月内发生数据泄露的可能性很小。组织的一个关键步骤是锁定第三方对敏感数据的访问。组织还需要继续为其复杂的云环境(例如多云和混合云)确定跨平台支持的优先顺序,以确保所有环境的安全性。