畢馬威(KPMG)最近發(fā)布《企業(yè)數(shù)據(jù)責(zé)任:彌合消費(fèi)者信任鴻溝》報(bào)告,量化了客戶對(duì)企業(yè)的信任度,并指出了哪些因素導(dǎo)致了信任度的加速惡化。該調(diào)查對(duì)2000名美國消費(fèi)者和250名總監(jiān)級(jí)及更高級(jí)別的安全和數(shù)據(jù)隱私專業(yè)人士進(jìn)行了采訪,86%的受訪客戶表示數(shù)據(jù)隱私是一個(gè)原因,68%的客戶表示公司的數(shù)據(jù)收集水平令人擔(dān)憂,縮小日益擴(kuò)大的信任差距并非易事。
雖然62%的安全和數(shù)據(jù)隱私管理者表示他們的組織應(yīng)該采取更多措施來加強(qiáng)數(shù)據(jù)保護(hù),但還有33%表示客戶應(yīng)該關(guān)注企業(yè)是如何使用他們的數(shù)據(jù)的。此外這些負(fù)責(zé)數(shù)據(jù)隱私管理的調(diào)查對(duì)象并不確定其企業(yè)本身對(duì)于客戶數(shù)據(jù)處理的可信度,因?yàn)?9%的人表示他們的企業(yè)有時(shí)會(huì)使用不道德的數(shù)據(jù)收集方法,13%的員工不相信他們的雇主會(huì)以合乎道德的方式使用他們的數(shù)據(jù)。
僅靠數(shù)據(jù)治理作用有限
自上而下的數(shù)據(jù)治理和管理方法并沒有足夠快地縮小差距。畢馬威研究發(fā)現(xiàn):83%的客戶不愿意共享他們的數(shù)據(jù)來幫助企業(yè)生產(chǎn)更好的產(chǎn)品和服務(wù);30%的人根本不愿意出于任何原因共享個(gè)人數(shù)據(jù)。盡管許多企業(yè)實(shí)施了全公司數(shù)據(jù)治理框架,但這種網(wǎng)絡(luò)信任差距仍在繼續(xù)擴(kuò)大。
畢馬威美國隱私服務(wù)負(fù)責(zé)人奧森·盧卡斯表示,這是由于70%的數(shù)據(jù)安全和隱私管理者的公司由于加大了數(shù)據(jù)收集力度,反倒進(jìn)一步刺激了用戶拒絕提供數(shù)據(jù)的選擇。他表示:“企業(yè)想要更多隱私數(shù)據(jù),而用戶對(duì)企業(yè)的信任度卻在降低,如果無法彌合這一鴻溝,企業(yè)可能會(huì)面臨失去推動(dòng)業(yè)務(wù)增長的寶貴數(shù)據(jù)機(jī)會(huì),以及洞察威脅用戶數(shù)據(jù)安全的真正風(fēng)險(xiǎn)。”
為什么選擇零信任
零信任可以通過網(wǎng)絡(luò)安全保護(hù)隱私,該網(wǎng)絡(luò)安全方案具有足夠的適應(yīng)性,可以授予每個(gè)客戶訪問其整個(gè)客戶記錄的權(quán)限。76%的被調(diào)查用戶希望在個(gè)人數(shù)據(jù)的管理方式和用途方面提高透明度,但只有53%的公司滿足了這一點(diǎn)。用戶認(rèn)為企業(yè)在保護(hù)數(shù)據(jù)方面做得不夠,64%的人表示公司在保護(hù)他們的數(shù)據(jù)方面做得不夠;47%的人非常擔(dān)心他們的數(shù)據(jù)會(huì)被黑客入侵;51%的人則擔(dān)心他們的數(shù)據(jù)會(huì)被出售。
為了縮小數(shù)據(jù)信任差距,公司需要進(jìn)行全面披露,提供客戶數(shù)據(jù)的完整視圖,并解釋他們?nèi)绾问褂眠@些數(shù)據(jù)。實(shí)現(xiàn)這一目標(biāo)的最佳方法是在個(gè)人客戶帳戶級(jí)別實(shí)施零信任安全,以保護(hù)訪問端點(diǎn)、身份和其他威脅媒介。
通過選擇優(yōu)先考慮零信任安全,公司可以在縮小與客戶的信任差距方面取得進(jìn)展,同時(shí)實(shí)現(xiàn)更高的透明度。以下是公司可以使用零信任方案為用戶提供安全、完整的透明度,同時(shí)保護(hù)其業(yè)務(wù)安全的四種方法:
一、首先定義身份和訪問管理(IAM)以提供準(zhǔn)確性、規(guī)模和速度。正確使用IAM是成功的零信任安全框架的基石,該框架可為客戶的數(shù)據(jù)提供安全的透明度。
定義IAM策略需要考慮如何協(xié)調(diào)特權(quán)訪問管理(PAM)、客戶身份和訪問管理(CIAM)、移動(dòng)多因素身份驗(yàn)證(MFA)和機(jī)器身份管理以提高客戶體驗(yàn)和信任度。
二、通過重新評(píng)估每個(gè)端點(diǎn)設(shè)備上的軟件客戶端數(shù)量并將它們整合為更易于管理的數(shù)量,提高端點(diǎn)的可見性、控制力和彈性。Absolute Software發(fā)布的2021年《端點(diǎn)風(fēng)險(xiǎn)報(bào)告》發(fā)現(xiàn),端點(diǎn)設(shè)備配置得越多,沖突的軟件客戶端造成不良行為者可以利用的安全漏洞的可能性就越大。
報(bào)告指出,端點(diǎn)上相互沖突的安全層將導(dǎo)致安全防御形同虛設(shè),采用零信任安全的目標(biāo)是實(shí)現(xiàn)更高的實(shí)時(shí)可見性和控制,并實(shí)現(xiàn)更好的端點(diǎn)安全彈性和持久性。Absolute Software的端點(diǎn)自我修復(fù)方法基于固件嵌入式連接,每個(gè)基于PC的端點(diǎn)都無法刪除該連接。
三、為所有客戶帳戶啟用多重身份驗(yàn)證(MFA),以便客戶可以安全地查看他們的數(shù)據(jù)。由于密碼泄露,端點(diǎn)和用戶帳戶最常遭到破壞。在所有客戶帳戶中配置MFA是給定的。從長遠(yuǎn)來看,目標(biāo)需要更多地轉(zhuǎn)向無密碼身份驗(yàn)證,以進(jìn)一步保護(hù)所有端點(diǎn)和客戶免受破壞。
四、定義路線圖,以盡快過渡到無密碼身份驗(yàn)證以訪問客戶記錄。攻擊者更喜歡竊取特權(quán)訪問憑證以節(jié)省時(shí)間并隨意在整個(gè)網(wǎng)絡(luò)中橫向移動(dòng)。Verizon的數(shù)據(jù)泄露年度調(diào)查顯示,特權(quán)訪問濫用是導(dǎo)致數(shù)據(jù)泄露的主要原因。企業(yè)需要一種更直觀、不那么突兀但基于多因素的帳戶訪問方法,以克服密碼的弱點(diǎn),市場(chǎng)上眾多的無密碼身份驗(yàn)證解決方案都是很好的選擇。