金雅拓和波耐蒙研究所研究：云数据安全对许多公司来说仍是一个挑战

- 在所有存储到云中的云服务和企业数据中，有一半的数据在 IT 部门的控制之外 - 在存储到基于云的应用的敏感数据中，仅有三分之一的数据经加密 - 对于云环境中的数据，超过一半的公司未采取主动的方法保证隐私和安全法规的合规性 - IT 组织采取的简单措施为企业数据和"影子 IT"需求提供保护   尽管云计算资源对于组织的重要性越来越大，但公司仍未采用适当的治理和安全措施保护云中的敏感数据。这仅是一份名为"2016 年全球云数据安全研究"的波耐蒙研究所研究的几个调查结果之一，该研究由全球数字安全性领导者金雅拓（泛欧证券交易所 NL0000400653 GTO）委托。本次研究调查了全球超过 3,400 位 IT 和 IT 安全从业人员，以更好地了解基于云的服务的数据治理和安全实践的关键趋势。    73% 的回复者表示基于云的服务和平台对组织的运营非常关键，81% 的回复者表示他们将在未来几年更多地使用。事实上，36% 的回复者表示，当今的云资源可以满足公司的总 IT 和数据处理需求，并预计这一数字会在未来两年增至 45%。   尽管基于云的资源对于 IT 运营和企业战略变得越来越重要，但是 54% 的回复者都不认为公司采取了主动的方法来管理安全性，遵守云环境的隐私和数据保护法规。但是，有 65% 的回复者表示，他们的组织致力于保护云中的机密或敏感信息。此外，56% 的回复者不认为他们的组织非常谨慎地与第三方分享云中的敏感信息，如业务合作伙伴、承包商和供应商。   "云安全性继续成为公司面临的挑战，尤其面临隐私复杂性和数据保护法规的复杂性时，"波耐蒙研究所主席兼创始人 Dr. Larry Ponemon 表示。"为确保合规性，很重要的一点是，公司需要考虑部署加密、令牌化等技术，或其他加密解决方案来保护云中传输和存储的敏感数据。"   "组织使用云的原因是其成本和灵活性，但在虚拟环境中保持对数据的控制和合规性方面仍然非常困难，"金雅拓数据保护副总裁兼首席技术官 Jason Hart 表示。"很明显的是，安全措施未跟上这一发展步伐，原因在于当仅在网络上存储时，云会挑战传统的数据保护方法。仅可通过以数据为主的方法来解决这一问题，其中 IT 组织可以跨员工和内部部门每天使用的数十个基于云的服务，统一保护客户和企业信息。"   主要调查结果 影子 IT 导致云安全变得非常复杂 根据回复者的介绍，约一半（49 %）的云服务由企业 IT 之外的部门部署，平均有 47% 存储到云环境的企业数据在 IT 部门的管理或控制之外。然而，对知道所有使用中的云计算服务的信心正在增加。54% 的回复者有信心，IT 组织知道所有使用中的云计算应用、平台或基础设施服务 – 与 2014 年相比增加 9%。    传统安全实践不适用于云 2014 年，60% 的回复者认为，使用云服务更难保护机密或敏感信息。今年，有 54% 的人这样说。很难控制或限制最终用户访问的人数从 2014 年的 48% 增至 2016 年的 53%。让安全性变得困难的其他主要挑战包括，无法为云环境应用传统信息安全（70% 的回复者）和无法检查云提供商的安全合规性（69% 的回复者）。    更多客户信息被存储到云，被认为是最处于风险之中的数据 根据本调查，客户信息、电子邮件、消费者数据、员工记录和付款信息都是云中最常存储的数据类型。自 2014 年起，在云中存储客户信息的比例从 2014 年的 53% 增至 62% 的回复者表示公司现正这样做。53% 的回复者还将客户信息视为云中处于最高风险的数据。   当提到购买云服务时，安全部门被蒙在鼓里 仅 21% 的回复者表示，安全团队的成员参与使用某些云应用或平台的决策流程。大部分回复者（64%）还表示，其组织未制定要求使用安全保护措施的政策，如加密，作为使用某些云计算应用的条件。    加密非常重要，但仍未普遍用于云 72% 的回复者表示，加密或令牌化敏感或机密数据的能力非常重要，86% 的回复者表示这在未来两年会变得更加重要，比 2014 年的 79% 有所增加。尽管加密的重要性正在增长，但这仍未广泛部署到云。例如，作为最常见的基于云的服务——SaaS，仅 34% 的回复者表示，组织直接加密或令牌化基于云的应用内的敏感或机密数据。   许多公司仍依赖于密码保护对云服务的用户访问权限 67% 的回复者表示，在云中管理用户身份比内部部署更难。然而，组织未采用易于实施，并可增加云安全性的措施。约一半（45%）的公司未使用多重身份验证保护员工和第三方对云中的应用和数据的访问，意味着许多公司仍仅依赖于用户名和密码验证身份。这让更多数据处于风险中，因为 58% 的回复者表示，组织会允许第三方用户访问云中的数据和信息。   云中的数据安全建议 新的 云 IT 现实意味着，IT 组织需为数据治理和合规性制定综合的政策，为采购云服务制定指南，同时确定可在云中和不可在云中存储的数据的规则。   通过实施加密等数据安全措施，以集中的方式保护云中的数据，必要时将其作为内部组织的基于云的源服务，IT 组织可以实现保护企业数据的使命，同时成为"影子 IT"的使能者。   随着公司在云中存储更多数据，同时采用更多基于云的服务，IT 组织需要更关注以多重身份验证实现更加强大的用户访问权限控制。对于为第三方和供应商提供对云中数据的访问权限的公司来说，这尤为重要。