在对国际sybase用户组织216名成员的调查中发现,超过一半的受访者认为人为错误是对企业数据安全的最大威胁.
在这次调查中,约有56%的非金融机构认为人为错误是最大的挑战,而24%受访者则认为滥用特权的恶意内部人员才是更大的威胁.而对于金融机构,这些数据则更加突出,77%受访者主要担心人为错误, 约有48%的受访者担心内部人员滥用特权.近四分之一到受访者来自金融服务企业.
“这种危险来自于内部,而且通常是偶然发生的,” 某数据库制造公司的数据库管理员表示.
他们的担心也不是毫无依据,在过去数月中,遭遇数据泄露事故的企业中,将近三分之二的企业报告说是因为人为错误或者内部人员攻击.数据库以及相关的web应用程序是最常见的目标.
企业内部信息安全部署应该像外部一样”有力”,unisphere研究所分析师Joe McKendrick表示,企业往往不能保护部门间或者业务合作伙伴间传递的信息.
这次调查的受访者中,很少有公司在积极地保护数据, 或者定期监测和审计. 大部分受访者承认系统中存在很多生产数据的副本,但是他们表示他们没有对这些信息进行直接控制.只有20%的企业财务了”积极措施”来掩盖或者保护来自合作伙伴的数据.合规要求对数据有一定的影响,该调查发现. 然而,数据安全审计简直是””凤毛麟角”.
企业也没有利用技术优势来自动化执行某些数据库安全活动,例如管理数据库配置,补丁修复,审计,用户权限和威胁等.
企业需要将重点放在部署数据库安全最佳做法上, Application Security公司的全球营销副总裁Thom Vanhorn表示, ”只有他们部署了安全最佳做法,才可能避免这种数据泄露.”
除了对数据库泄漏的担心以及缺乏监控,受访者似乎对在将来发生数据泄露情况表示乐观, 73%的受访者感觉大部分或者所有数据都得到了充分的保护,超过一半受访者,56%,表示,数据泄露在未来12个月发生的可能性不大.只有2%的受访者认为在未来一年可能会发生”不可避免的”数据泄漏事故.
“当你从整体来看调查结果, 会发现,” McKendrick表示,”一方面,用户认为他们在积极地保护数据安全, 然而从某些更尖锐的问题的答案来看,这与他们的实际行动是相冲突的.”
在负责数据库安全的IT管理人员和高层管理人员的观念间存在严重脱节,负责数据安全的人不知道公司的IT开支情况. 45%的受访者不知道他们企业的数据安全开支已经发生变化.
这次调查的最大受访群体是数据库管理员,还有程序员, 开发人员和IT管理人员,约有四分之一到受访者来自拥有超过1万名员工的企业.