وقتی که بحث امنیت داده و پیروی از مقررات پیش می آید، بسیاری از سازمان ها عوامل خطرسازی که می توانند مانعی در روند امنیتی ایجاد کنند را در نظر نمی گیرند. عدم آگاهی و آماده سازی می تواند کسب و کار را در محافظت از اطلاعات خود با شکست مواجه کرده و آنها نتوانند از نشت اطلاعات جلوگیری کرده و شهرت خود را به خطر می اندازند.
نداشتن سیاست در قبال دستگاه های BYOD
بر اساس مطالعات اخیر، دسترسی کنترل نشده کاربران به اطلاعات و مدیریت ضعیف ذخیره سازی اطلاعات دو مورد از بزرگترین اشتباهات در خصوص امنیت داده در شرکت ها می باشد.
دستیابی به امنیت فرآیندی پیچیده است، اما شرکت هایی که اجازه می دهند کارمندانشان اطلاعات را به بیرون از شبکه سازمان منتقل کنند ، این فرآیند را سخت تر نیز می کنند. بدون آموزش کارکنان و نظارت بر آنها به همراه، نداشتن سیاست در قبال دستگاه های BYOD مطمئنا سازمان را در خصوص امنیت اطلاعات با شکست مواجه خواهد کرد. مطالعات نشان می دهد که 69% از کارشناسان IT اجازه می دهند کارمندان اطلاعات را بر روی دستگاه های موبایل شخصی خود منتقل کرده بدون وجود کوچکترین محدودیت هایی در این زمینه، و 33% از آنها نیز اجازه می دهند تا کارمندان اطلاعات را بدون هیچ محدودیتی بر روی سرویس های ابری شخصی منتقل نمایند، و اطلاعات حساس را در معرض خطر قرار داده و شرکت را با یک ریسک بزرگ مواجه کنند. یک کشف بسیار بدتر، آن است که 47% از سازمان ها هیچ دید و یا محدودیتی در خصوص چگونگی انتقال و یا جابجایی داده ها به بیرون از شبکه خود ندارند.
عدم آگاهی امنیت در میان کارمندان
عدم آگاهی امنیتی می تواند کارمندان را به یک تهدید داخلی بسیار خطرناک تبدیل نماید. متاسفانه، آگاهی مقوله ای است که به دلیل ماهیت ناملموس آن پیاده سازی و ارزیابی آن بسیار سخت است. آموزش پرسنل غیر امنیتی، مطلع ساختن آنها در قبال خطرات امنیت داده ها و همچنین حقوق و تعهدات مربوط به امنیت داده ها امری بسیار ضروری است، اما کارشناسان امنیتی باید در نظر داشته باشند که این امر باید به صورت مستمر انجام پذیرد. آموزش می تواند در گسترش آگاهی در میان کارکنان و تنظیم یک فرهنگ امنیت داخلی بسیار موثر باشد. پس کارشناسان در نظر داشته باشند که اگر فرض کنند کارکنان در خصوص سیاست های امنیت داده های داخلی اطلاع دارند، حتما در زمینه امنیت اطلاعات با شکست مواجه خواهند شد.
عدم طبقه بندی داده ها
یکی دیگر از اشتباهات بزرگ بیشتر سازمان ها آن است که اطلاعات حساس را خود طبقه بندی نمی کنند. طبقه بندی داده ها در زمینه امنیت داده و پیروی از مقررات بسیار حیاتی می باشد. ندانستن آنکه چه اطلاعاتی حساس هستند یا چه اطلاعات حساسی نیاز به امنیت دارند و در کجا قرار دارند می تواند فرآیند امنیت داده ها را با مشکلاتی مواجه کند. داده ها نیاز دارند با توجه به معیارهای مشخص هر کسب و کار طبقه بندی شوند و برای این کار، ضروری است که همه مدیران واحد های کسب و کار اطلاعات خود را ارائه دهند. یک مثال ساده مانند انتقال اطلاعات به بیرون از سازمان را در نظر بگیرید، روشن است که عدم طبقه بندی داده ها و یا عدم وجود هر نوع فیلتر در خصوص بیرون رفتن اطلاعات حساس می تواند به یک مشکل بزرگ تبدیل شود. همه کارکنان باید بدانند کدام اطلاعات سازمان محرمانه، حساس و یا عمومی هستند و از آن مهم تر، باید با یک راهکار جلوگیری از نشت اطلاعات مدیریت و نظارت شوند. فایل های مالی و حسابداری، استراتژی کسب و کار، جزئیات مشتریان، شرکا، و پایگاه داده کارکنان، و سایر اطلاعات می توانند به عنوان کاملا محرمانه طبقه بندی شده چراکه اگر به دست افراد دیگر برسد، می تواند اعتبار و یکپارچگی شرکت را تحت تاثیر قرار دهند.
نداشتن امنیت در خصوص اطلاعات ذخیره شده و یا اطلاعات مورد استفاده
وقتی صحبت از امنیت داده می شود، بیشتر سازمان ها توجه خود را معطوف اطلاعات در حرکت می کنند، اطلاعاتی که بر روی اینترنت جابه جا می شوند اما با بی توجهی در نظر نمی گیرند که کارکنان در وهله اول به این اطلاعات دسترسی ندارند. همچنین، بیشتر افراد امنیت اطلاعات مورد استفاده را که ممکن است حاوی گواهی های دیجیتال، کلیدهای رمزنگاری، مالکیت های معنوی ( الگوریتم های نرم افزاری، طراحی داده ها) و دیگر اطلاعات حساس باشند را در نظر نمی گیرند.
یک راهکار امنیتی باید تمامی این موارد را در خود داشته باشد.
رمزنگاری، جلوگیری از دست دادن اطلاعات، طبقه بندی اطلاعات، مدیریت دستگاه های موبایل، احراز هویت امن به همراه فرهنگ آگاهی امنیت در یک سازمان می تواند نقش مهمی در امنیت اطلاعات داشته باشد.