在今年的RSA会议上,一项对300名与会者进行的调查显示,2007年有89%以上的安全事件是没有报告的。
这项研究定义的安全事件是指给给机构带来骤加风险并且需要一个以上的安全人员去解决的意想不到的行动。
有些安全事件,如通过电子邮件传播恶意软件和钓鱼攻击,影响到了69%的受访者的公司。这些安全事件并非每一次都产生严重的后果。但是,29%的受访者表示,他们的公司发生了客户和员工数据泄漏。28%的受访者表示其公司发生了内部人员的威胁或者盗窃事件。16%受访者表示其机构发生了知识产权盗窃事件。
RSA会议首席安全战略家Tim Mather说,29%的受访者表示,他们在2007年发生了员工或者客户数据泄漏事件。但是,令人震惊的是只有11%的这种事件作了报告。
简言之,企业的不安全状况要比他们承认的状况差得多。RSA的调查显示,46%的企业在2007年没有遇到安全事件,19%的企业经历了1至2起安全事件,14%的企业经历了3至5次安全事件,7%的企业经历了6至10次安全事件,3% 的企业经历了11至20次安全事件,13%的企业经历了20次以上的安全事件。
这次调查显示,主要的安全挑战是设备被盗(49%)、非恶意的员工错误和员工教育(47%)、预算紧张的限制(44%)、外部黑客威胁(38%)、说服管理层(26%)和恶意内部人员的威胁(22%)。
