企业依赖SaaS解决方案:几乎每个业务职能都依赖多个基于云的技术平台和协作工作工具,如Slack、Google Workspace应用、Jira、Zendesk等。
我们最近对安全领导者和CISO进行了关于数据安全优先事项和挑战的调查,我们发现超过70%的受访者所在的企业使用50个或更多的SaaS解决方案,近三分之一的受访者表示他们的企业SaaS环境中包含200个或更多的应用程序。
随着员工、客户、供应商和合作伙伴使用如此多的云技术平台,各行业的数据安全事件大幅上升也就不足为奇了。Verizon发布的2024年数据泄露调查报告发现,68%的数据泄露“涉及非恶意的人为因素,比如有人成为社交攻击的受害者或犯下错误。”
如何扩展数据安全工作
无论你的企业规模如何,如果使用协作工作应用程序,你的安全团队都应采用“人力防火墙”协议。
“人工防火墙”是培训与技术的结合,赋能所有员工来保护公司的网络和系统,这要求每个人都具备基本的数据安全威胁知识,并在发生可疑活动时及时发出警报。
关键在于确保全体员工理解数据安全漏洞的性质,并能够在网络安全威胁演变为全面攻击之前识别它。
教育全体员工了解数据安全风险和威胁,并将他们纳入你的网络安全策略,这是扩展数据安全工作的第一步,也是减少那些可能导致严重网络攻击的无意错误的第一步。
第二步是利用安全工具实现实时、动态警报,当员工在不安全的平台上共享敏感信息或无意中造成网络安全风险时,这些工具可以通知他们。
另一个关键策略是:在企业内部为下载和使用协作SaaS应用程序制定明确的政策。
我们调查的CISO中有69%确认他们的企业允许员工与外部人员共享协作工作平台和工具的访问权限。协作SaaS应用对于完成工作至关重要,但它们也会导致高风险的环境,因此,由公司的安全团队或IT团队制定和维护应用程序下载与使用政策是非常重要的。(我们的调查发现,62%的CISO表示他们的SaaS政策要求应用程序必须由安全团队直接批准。)
生产力与数据安全可以并行
企业的生产力水平与协作SaaS应用紧密相关,然而,协作SaaS工作环境可能会产生网络犯罪分子常常瞄准的高风险漏洞。可以说,这些应用是安全团队实施“人工防火墙”策略的最有力理由之一。
随着如此多人使用和访问众多协作工作工具,员工必须具备识别安全风险的能力,而安全团队也必须能够使用数据安全工具,使整个员工队伍成为公司安全战略的一部分。
CISO们明白,网络安全事件是不可避免的。我们的调查显示,受访者最常遇到的网络安全事件类型包括恶意软件攻击、网络钓鱼骗局、凭证泄露和数据泄露——这些网络安全事件通常可以追溯到人为错误。超过一半的受访者确认他们偶尔或经常经历此类事件,因此,79%的受访者表示他们计划在未来一年优先考虑安全意识和培训的提升,这也不足为奇。
然而,仅仅依靠安全意识和培训并不足以确保你的SaaS应用网络的安全。采用“人工防火墙”策略并实施能够为SaaS环境提供可见性的数据安全工具,是全面数据安全计划的基础。最重要的是,这使你的企业能够在不牺牲数据安全的情况下维持高水平的生产力。