舉個(gè)例子，在2021年年中，94%的接受調(diào)查的企業(yè)報(bào)告說(shuō)，他們?cè)馐苓^(guò)內(nèi)部數(shù)據(jù)泄露。一年后，根據(jù)《哈佛商業(yè)評(píng)論》的數(shù)據(jù)，在第二次調(diào)查中，67%的受訪員工承認(rèn)他們沒(méi)有遵守公司的網(wǎng)絡(luò)安全政策。

員工不遵守(或在某些情況下，缺乏知識(shí))安全和治理政策是越來(lái)越多的公司使用社會(huì)工程審計(jì)來(lái)審查用戶部門實(shí)踐的原因之一，治理失誤的另一個(gè)原因是員工壓力，根據(jù)蓋洛普的數(shù)據(jù)，2023年員工壓力占所有員工的44%。

公司不想要壓力過(guò)大的員工，但他們也不想要糟糕的數(shù)據(jù)治理，而且他們知道數(shù)據(jù)治理不是IT可以獨(dú)立完成的工作。

問(wèn)題是：期望員工和用戶部門自己進(jìn)行數(shù)據(jù)治理策略有多現(xiàn)實(shí)?

非侵入性治理的目標(biāo)

數(shù)據(jù)治理要求用戶遵守策略，但同樣重要的挑戰(zhàn)是使數(shù)據(jù)治理對(duì)用戶盡可能非侵入性。用戶不想得到新的任務(wù)，這些任務(wù)似乎是他們的工作職責(zé)之外的。因此，通過(guò)用戶每天都在做的事情來(lái)看待數(shù)據(jù)治理是有意義的。

以下是一些最佳實(shí)踐：

用戶經(jīng)理負(fù)責(zé)向IT部門提供其員工名單，以及每位員工所需的IT資源授權(quán)級(jí)別。用戶經(jīng)理還負(fù)責(zé)讓人力資源和IT部門知道任何調(diào)到其他用戶部門或離開公司的員工，以便更改或取消對(duì)這些人員的授權(quán)。

現(xiàn)在，大多數(shù)公司的標(biāo)準(zhǔn)做法是，用戶區(qū)域的員工立即報(bào)告任何不尋常的電子郵件，以便IT部門可以調(diào)查這些電子郵件的合法性。

在許多情況下，IT部門已經(jīng)將所有工作人員的系統(tǒng)使用情況月度報(bào)告發(fā)送給各自的管理人員進(jìn)行審查。報(bào)告的目的是讓經(jīng)理檢查員工系統(tǒng)的使用情況是否有任何異常。

所有這些步驟都有助于維護(hù)企業(yè)數(shù)據(jù)治理，它們也是用戶經(jīng)常執(zhí)行的任務(wù)。

非侵入性數(shù)據(jù)治理策略的目標(biāo)是確保用戶繼續(xù)做他們已經(jīng)在做的事情，同時(shí)避免向用戶工作負(fù)載添加新的數(shù)據(jù)治理任務(wù)。

使用IT自動(dòng)化

使數(shù)據(jù)治理對(duì)用戶非侵入性的另一種方法是使用自動(dòng)化軟件來(lái)實(shí)施數(shù)據(jù)治理。

自動(dòng)化解決方案可用于以下操作：

多因素身份驗(yàn)證，需要用戶登錄到IT資源，而不僅僅是用戶ID和密碼(例如，通過(guò)添加第三個(gè)元素，如生物識(shí)別)。

數(shù)據(jù)清理和準(zhǔn)備工具，在將數(shù)據(jù)納入中央數(shù)據(jù)存儲(chǔ)庫(kù)之前，審查并確保數(shù)據(jù)格式正確、準(zhǔn)確，并能夠與中央數(shù)據(jù)存儲(chǔ)庫(kù)中的其他形式的數(shù)據(jù)集成。

自動(dòng)跟蹤和跟蹤工具，可以檢測(cè)和監(jiān)控網(wǎng)絡(luò)中所有點(diǎn)的用戶活動(dòng)，并在檢測(cè)到使用異常時(shí)立即發(fā)出警報(bào)。

部署零信任網(wǎng)絡(luò)，不僅保護(hù)網(wǎng)絡(luò)的外部邊界，而且保護(hù)只有特定用戶有權(quán)訪問(wèn)的特定IT系統(tǒng)和資產(chǎn)的內(nèi)部邊界。

SD WAN (軟件定義廣域網(wǎng))和SASE(安全訪問(wèn)服務(wù)邊緣)解決方案，將數(shù)據(jù)安全擴(kuò)展到內(nèi)部企業(yè)網(wǎng)絡(luò)之外，并提供高級(jí)工具和自動(dòng)化，以確?；谠频臄?shù)據(jù)操作安全。

自動(dòng)軟件安全更新，可將更新推送到最終用戶設(shè)備。

IT設(shè)備跟蹤功能，可定位丟失或放錯(cuò)位置的設(shè)備并將其關(guān)閉。

從云到云以及從云到數(shù)據(jù)中心的數(shù)據(jù)加密，確保數(shù)據(jù)在傳輸過(guò)程中的安全。

還能做些什么呢?

上面引用的《哈佛商業(yè)評(píng)論》的研究指出，當(dāng)員工故意違反公司安全和治理政策時(shí)，最常見的三個(gè)原因是“為了更好地完成我的工作任務(wù)”、“為了得到我需要的東西”和“幫助別人完成他們的工作”。

通過(guò)使用自動(dòng)化，并確保盡可能不再要求用戶超出他們通常為數(shù)據(jù)安全和隱私所做的工作，IT可以使數(shù)據(jù)治理對(duì)用戶盡可能地非侵入性。

然而，有一個(gè)警告：不能免除用戶在數(shù)據(jù)治理中的所有參與和責(zé)任。

遵循政策是確保健全數(shù)據(jù)治理的最佳方法，但定期執(zhí)行第三方社會(huì)工程審計(jì)應(yīng)該是另一種方法。

用戶參與這些審計(jì)只是一個(gè)小小的“要求”，如果它可以為一家公司節(jié)省數(shù)百萬(wàn)甚至數(shù)十億美元的緩解費(fèi)用，那么它肯定是值得的。