尽管云计算资源对于各组织的重要性越来越大,但企业仍未采用适当的治理和安全措施保护云中的敏感数据。数字安全领域全球领导者金雅拓(泛欧证券交易所 NL0000400653 GTO)委托波耐蒙研究所研究公布了一份名为《2016 年全球云数据安全研究》的调查报告。该报告调查了全球超过 3,400 位 IT 和 IT 安全从业人员,以更好地了解云服务的数据治理和安全实践的关键趋势。
金雅拓和波耐蒙研究所将于7月28日上午10点(东部夏季时间)主办网络研讨会,介绍本研究的完整结果。单击以下链接注册:https://www.brighttalk.com/webcast/2037/216247 。
73% 的受访者表示,基于云的服务和平台对组织运营非常重要,而81% 的受访者表示他们将在未来几年更多地使用基于云的服务和平台。事实上,36% 的受访者表示,当今的云资源可以满足公司的总体 IT 和数据处理需求,并预计这一数字会在未来两年增至 45%。
尽管基于云的资源对于 IT 运营和企业战略变得越来越重要,但是 54% 的受访者都认为,公司并没有采取主动的方法来管理安全性,遵守云环境的隐私和数据保护法规。但是,有 65% 的受访者表示,他们的企业正致力于保护云中的机密或敏感信息。此外,56% 的受访者认为,他们的企业在与第三方如业务合作伙伴、承包商和供应商分享云中的敏感信息方面并不是十分谨慎。
波耐蒙研究所主席兼创始人 Dr. Larry Ponemon 表示:“云安全继续成为企业面临的挑战,尤其是隐私复杂性和数据保护法规的复杂性。为确保合规性,公司需要考虑部署加密、令牌化等技术,或其他加密解决方案来保护云中传输和存储的敏感数据。”
金雅拓副总裁兼数据保护首席技术官 Jason Hart 表示:“组织使用云的原因是其成本和灵活性,但在虚拟环境中保持对数据的控制和合规性方面仍然非常困难。很明显的是,安全措施未能跟上这一发展步伐,原因在于当仅在网络上存储时,云会挑战传统的数据保护方法。这一问题只能通过以数据为主的方法来解决,即 IT 部门可以跨员工和内部部门每天使用的数十个云服务,统一保护客户和企业信息。”
主要调查结果
影子 IT 导致云安全变得非常复杂
根据受访者的介绍,约一半(49 %)的云服务由企业 IT 之外的部门部署,存储到云环境中的平均47%的企业数据在 IT 部门的管理或控制之外。然而,受访者对IT组织了解所有使用中的云计算服务这一点充满信心。其中54% 的受访者坚信,IT 组织知道所有使用中的云计算应用、平台或基础设施服务,这一数据 与 2014 年相比增加 9%。
传统的安全实践不适用于云
在2014 年,60% 的受访者认为,使用云服务将更难保护机密或敏感信息。2016年, 54% 的受访者也保留上述看法。2014年有48%的受访者认为,很难控制或限制最终用户访问的人数,这一数据到2016年增加到53%。安全性面临的其他主要挑战包括,无法在云环境中应用传统信息安全(70% 的受访者)和无法直接检查云提供商的安全合规性(69% 的受访者)。
存储到云中的客户信息被认为是最处于风险中的数据
根据本次研究,客户信息、电子邮件、消费者数据、员工记录和付款信息都是云中最常存储的数据类型。 2014 年53%的受访者企业在云中存储客户信息,这一比例随之增长至2016年的62%。53% 的受访者还将客户信息视为云中处于最高风险的数据。
购买云服务时,安全部门被蒙在鼓里
仅 21% 的受访者表示,安全团队的成员参与使用某些云应用或平台的决策流程。大部分受访者(64%受访者)还表示,其组织未制定要求使用安全保护措施的政策如加密,作为使用某些云计算应用的条件。
加密非常重要,但仍未普遍用于云
72% 的受访者表示,加密或令牌化敏感或机密数据的能力非常重要,86% 的受访者表示,这在未来两年会变得更加重要,比 2014 年的 79% 有所增加。尽管加密越来越重要,但在云中仍未被广泛应用。例如,作为最常见的基于云的服务——SaaS,仅 34% 的受访者表示,他们的企业直接加密或令牌化基于云的应用内的敏感或机密数据。
许多公司仍依赖于密码保护对云服务的用户访问权限
67% 的受访者表示,在云中管理用户身份比内部部署更难。然而,组织未采用易于实施、并可增加云安全性的措施。约一半(45%)的企业未使用多重身份验证保护员工和第三方对云中的应用和数据的访问,意味着许多公司仍仅依赖于用户名和密码验证身份。由于 58% 的受访者表示,他们的组织会允许第三方用户访问云中的数据和信息,因此会使更多的数据处于风险中。
云中数据安全建议
云中IT管理的现实意味着,IT 组织需为数据治理和合规性制定综合的政策,为采购云服务制定指南,同时确定可在云中和不可在云中存储数据的规则。
通过实施加密等数据安全措施,以集中的方式保护云中的数据,必要时将其作为内部组织的基于云的源服务,IT 组织可以实现保护企业数据的使命,同时成为“影子 IT”的使能者。
随着企业在云中存储更多数据,同时采用更多基于云的服务,IT 组织需要更关注以多重身份验证实现更加强大的用户访问权限控制。对于为第三方和供应商提供对云中数据的访问权限的企业来说,这尤为重要。 
