员工离职时经常会带走企业的部分知识产权(IP),因为他们认为自己对自己的工作成果具有自主权。但是安全专家认为,这种现象存在严重的安全隐患,是一个亟需解决的问题。
如果说,离职的CEO打算将企业数据带离到公司以外的地方,那么即便贵公司配置了更高额的安全预算,以及更先进的新型技术仍然无济于事。更糟糕的现实是,这种现象如今非常普遍,很多人都习惯于这样做——离职后带走企业的知识产权。
为了完成《2018年数据泄露报告》,Code42公司针对1,034名安全和IT领导者(公民社会组织、首席技术官、首席信息安全官、首席信息官)以及600名首席执行官和企业领导人进行了调查,结果发现,这些商业领袖在网络安全实践方面存在巨大的言行差异——即其所宣扬的网络安全实践方式与其具体实践行为之间存在巨大差异。
绝大多数(78%)CEO 和74%的商业领袖均表示,知识产权(IP)是企业中最有价值的资产;然而,72%的CEO承认,他们会从过去的雇主那里“窃取”知识产权。近一半的商业领袖和71%的市场总监(CMO)声称,他们都已经做了同样的事情。
我想,大家都不难想到的一个现实是,当员工离开公司的时候都会随身携带部分信息。但是,令人惊讶的数据是,居然有如此大比例的C级管理人员会承认,其在离开公司时确实带走了一些重要信息。
这一现状无疑引发了很大的安全隐患:78%的受访CEO表示,组织面临的最大风险是员工对政策和规则的漠视,他们习惯以自己想要的方式完成工作。不过,正所谓“假作真时真亦假”,一旦大多数人都认为自己的行为根本不存在问题,再想要说服他们改变这种危险的习惯就非常棘手了。
3/4的受访CEO表示,这些企业知识产权不仅仅是属于企业的数据,它也是我的工作成果和思想结晶。对此看法,70%的商业领袖表示认同。事实上,无论是CEO还是其他企业领导者都认为自己对这些知识产权具备一定程度的“自主权”。正如他们所言,他们在工作中注入了大量的精力和心血,因此也会自然地将这些数据视为“自己的”。根据数据显示,几乎所有(93%)的CEO都会在个人设备或存储账户上保留他们自己的工作副本。
人们将这些数据带走的时候,丝毫没有任何“窃取”的概念。他们只是认为,这些数据就是属于自己的“所有物”,因此将其随身携带离开也就算不上“窃取”企业资产。
这种动机我们可以理解,但是不得不说,这种行为仍然具备其危害性。3/4的受访CEO都知道员工会将文件复制到多个设备上,但却无法阻止他们的这种行为。86%的IT和安全领导者认为,文件存储在外部的程度会引发严重的安全威胁。
你可以点击,但你将无处躲藏
一半的商业领袖和63%的CEO都承认,他们曾经点击过本不应该点击的链接。研究人员报告称,34%的CEO必须更改密码;1/4的账户丧失了控制权;25%的人支付了勒索软件赎金。
在网络的世界中,意外随时可能发生,而点击恶意链接肯定是最常见的方式。但问题是,14%的CEO和36%的商业领袖并没有报告这些意外事件,因为他们认为自己能够自行解决问题(36%的CEO和38%的商业领袖),并不认为它会带来安全风险(20%的CEO和24%的商业领袖),担心上报之后的影响(26%的CEO和23%的商业领袖),亦或“希望什么都不会发生”(27%的CEO和22%的商业领袖)。
下载之前请三思
此外,大部分受访CEO还表示,他们会在不知道软件是否获得安全许可的情况下下载软件。虽然,这一数字已经从2017年的75%下降到了目前的60%左右,但它仍然可能引发重大的安全问题。在下载未经批准的软件的CEO中,77%的人认为此举存在安全风险。
当然,这种问题不仅仅存在于C级管理层中:70%的CISO和62%的IT安全领导者认为,所有员工都在下载未经许可的软件。而造成这种现状的原因有很多:员工声称他们之所以下载未经批准的软件,是因为公司提供的软件并不理想,而他们在个人生活中使用过相同的软件,这些应用程序显然要比公司提供的软件更易用、更便捷。
另外一个重要的原因在于,在Apple App Store,Google Play商店......上,我们可以找到几乎任何东西的应用程序,只需点击几下,就可以轻松地将其下载到自己的设备上。这种操作很容易实现,所以就有越来越多的员工绕过公司批准的软件,来自行下载自己适用的程序。
商业和安全高管正在准备应对他们认为不可避免的违规行为。64%的CISO和56%的CEO认为,他们的公司将在明年受到攻击。此外,勒索软件是他们最关心的问题,其次是高级持续性威胁(APT)、网络钓鱼以及恶意内部人员。
报告原文:
声明:本文来自安全牛,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。