举个例子,在2021年年中,94%的接受调查的企业报告说,他们遭受过内部数据泄露。一年后,根据《哈佛商业评论》的数据,在第二次调查中,67%的受访员工承认他们没有遵守公司的网络安全政策。
员工不遵守(或在某些情况下,缺乏知识)安全和治理政策是越来越多的公司使用社会工程审计来审查用户部门实践的原因之一,治理失误的另一个原因是员工压力,根据盖洛普的数据,2023年员工压力占所有员工的44%。
公司不想要压力过大的员工,但他们也不想要糟糕的数据治理,而且他们知道数据治理不是IT可以独立完成的工作。
问题是:期望员工和用户部门自己进行数据治理策略有多现实?
非侵入性治理的目标
数据治理要求用户遵守策略,但同样重要的挑战是使数据治理对用户尽可能非侵入性。用户不想得到新的任务,这些任务似乎是他们的工作职责之外的。所以,通过用户每天都在做的事情来看待数据治理是有意义的。
以下是一些最佳实践:
用户经理负责向IT部门提供其员工名单,以及每位员工所需的IT资源授权级别。用户经理还负责让人力资源和IT部门知道任何调到其他用户部门或离开公司的员工,以便更改或取消对这些人员的授权。
现在,大多数公司的标准做法是,用户区域的员工立即报告任何不寻常的电子邮件,以便IT部门可以调查这些电子邮件的合法性。
在许多情况下,IT部门已经将所有工作人员的系统使用情况月度报告发送给各自的管理人员进行审查。报告的目的是让经理检查员工系统的使用情况是否有任何异常。
所有这些步骤都有助于维护企业数据治理,它们也是用户经常执行的任务。
非侵入性数据治理策略的目标是确保用户继续做他们已经在做的事情,同时避免向用户工作负载添加新的数据治理任务。
使用IT自动化
使数据治理对用户非侵入性的另一种方法是使用自动化软件来实施数据治理。
自动化解决方案可用于以下操作:
多因素身份验证,需要用户登录到IT资源,而不仅仅是用户ID和密码(比如,通过添加第三个元素,如生物识别)。
数据清理和准备工具,在将数据纳入中央数据存储库之前,审查并确保数据格式正确、准确,并能够与中央数据存储库中的其他形式的数据集成。
自动跟踪和跟踪工具,可以检测和监控网络中所有点的用户活动,并在检测到使用异常时立即发出警报。
部署零信任网络,不仅保护网络的外部边界,而且保护只有特定用户有权访问的特定IT系统和资产的内部边界。
SD WAN (软件定义广域网)和SASE(安全访问服务边缘)解决方案,将数据安全扩展到内部企业网络之外,并提供高级工具和自动化,以确保基于云的数据操作安全。
自动软件安全更新,可将更新推送到最终用户设备。
IT设备跟踪功能,可定位丢失或放错位置的设备并将其关闭。
从云到云以及从云到数据中心的数据加密,确保数据在传输过程中的安全。
还能做些什么呢?
上面引用的《哈佛商业评论》的研究指出,当员工故意违反公司安全和治理政策时,最常见的三个原因是“为了更好地完成我的工作任务”、“为了得到我需要的东西”和“帮助别人完成他们的工作”。
通过使用自动化,并确保尽可能不再要求用户超出他们通常为数据安全和隐私所做的工作,IT可以使数据治理对用户尽可能地非侵入性。
然则,有一个警告:不能免除用户在数据治理中的所有参与和责任。
遵循政策是确保健全数据治理的最佳方法,但定期执行第三方社会工程审计应该是另一种方法。
用户参与这些审计只是一个小小的“要求”,如果它可以为一家公司节省数百万甚至数十亿美元的缓解费用,那么它肯定是值得的。
