数据安全对于任何企业组织都至关重要。近年来，关于数据安全的解决方案、工具等层出不穷，但从实践来看，大多数企业对数据安全仍然是缺乏可见性或控制力。本报告对网络安全专业人士进行的一项全面在线调查，旨在深入了解内部威胁管理的最新趋势、主要挑战和解决方案。

数据安全意识

从网络安全意识延伸到数据层面，值得欣慰的是，当前94%的受访IT与安全专业人员，认为数据安全极为重要。

对数据安全现状的担忧

超过半数(55%)的受访组织对其数据安全状况没有信心。

大多数受访者(75%)认为他们组织至少在某种程度上容易受到数据泄露影响。

• 风险数据

客户信息(60%)、知识产权(49%)和敏感员工数据(43%)是网络安全专业人士认为最具风险的数据类型。虽然用户凭证(36%)并被认为没有较高的风险，但他们是所有其他数据被盗的手段。

• 安全威胁类型

根据被调查组织中的网络安全专家的说法，在敏感数据所面临的各类安全威胁中，有几个最突出的威胁。钓鱼攻击(61%)位居榜首，其次是内部攻击(54%)——这两种攻击都很难防范，因为它们既依赖于安全技术控制，也依赖于员工的行为和合作。

• 外部行为者

参与调查的组织最关心的是外部行为者对其敏感数据的蓄意攻击，如网络罪犯、黑客分子或国家资助的黑客(65%)，其次是特权用户(56%)和竞争对手(29%)。

数据泄露

2019年全年数据显示，21%的组织经历了数据泄露。令人担忧的是，68%的人声称没有经历过数据泄露——事实上，这可能反映了大量未被注意的泄露事件。最常见的入侵类型是内部人员(37%)问题，其次是支付卡欺诈(26%)和黑客或恶意软件(16%)。

• 泄露影响

最常见的业务影响是数据丢失(53%)、业务活动中断(42%)和负面宣传(42%)。

如何保护数据安全

• 数据保护技术

根据调查中网络安全专业人员的反馈,最有效的数据保护控制是在资产层面通过各种加密技术对数据进行保护，包括数据库加密(94%)、存储加密(93%)、网络加密/VPN(92%)、文件和文件夹加密(89%)、客户机/应用程序加密(89%)。访问控制(92%)与网络加密/VPN（92%）并列第三。

• 数据保护实践与政策

组织中最常见的数据保护实践和政策(除了技术控制)包括员工培训(81%)和关于数据保护的管理政策(79%)。

从整体趋势来说，绝大多数的组织（70%）预计他们的数据安全预算将在未来12个月内增加——30%甚至预计预算增长超过10%。可以说，安全无尽头，宁可“错杀”，不能放过。

编译来自：FreeBuf