有没有看过你认为不应该的特雷洛冲浪板?如果你在英国或美国,你并不孤单。
最近的一项研究显示,在英国和美国的公司里,大约40%的员工可以接触到他们完成工作时不需要的敏感数据。
在IT安全公司Forcepoint委托进行的一项针对略低于900名IT专业人员的调查中,40%的商业部门受访者和36%在公共部门工作的人表示,他们可以通过工作获得访问敏感数据的特权。
令人担忧的是,在这一数字中,又有约三分之一(38%的公共部门和36%的私人部门)表示,尽管不需要访问特权,但他们仍拥有访问特权。总体而言,在1000多名受访者中,只有14%的私营部门认为他们的组织完全知道谁拥有他们雇主数字王国的钥匙。
这项由研究机构美国波内蒙研究所(US Ponemon Institute)进行的调查还发现,大约23%的IT专业人士认为,数据和系统的特权访问是无意间提供的,或者正如Forcepoint在一份声明中所说,没有明显的原因。
访问管理是IT安全BOD的一个关键话题,尤其是在新冠肺炎引发的远程工作给数据访问和组织内流程监控带来挑战的情况下。
一项势必会支持一线员工彼此看法的调查结果显示,整整一半的受访者(49%是公共部门,51%是私人部门)表示,拥有更高访问权限的用户出于好奇心会浏览数据,而略高于40%的受访者认为,他们的同事可能会受到压力,要求他们共享登录凭据。
超过一半的人认为,基于事件的安全工具会产生误报,而且产生的数据太多,无法及时审查。这表明,工作人员认为,所有安全工具都可能是发现和堵塞系统漏洞或恶意人员泄露宝贵数据的更大障碍。
Forcepoint首席产品官尼科·波普(Nico Popp)在一份事先准备好的声明中表示,要有效地理解内部人士带来的风险,不仅仅是查看日志和配置更改。
基于事件的安全工具会产生太多的误报;相反,IT领导者需要能够关联来自多个来源的活动,例如故障单和工卡记录,查看击键档案和视频,并利用用户和实体行为分析工具。不幸的是,这些都是许多组织做不到的地方。
这项调查接受了755名英国和1128名美国公共和私营部门员工的回复。®。
The Register-独立于科技界的新闻和观点。情况发布的一部分