IRM计划无法阻拦企业数据丢失

超过82%的CISO承认，他们对于组织内部的风险问题以及其可能造成的数据丢失感到担忧。

Gartner分析师Paul Furtado表示，员工、合作伙伴以及上下游供应商都可以在不同级别以不同的敏感度访问企业内网，然而，很少由企业关注这些用户的上网行为。以往，企业信息安全的主要支出更关注与外部的安全，很多安全产品也是集中在外部威胁和保护外围不受攻击者攻击。但在组织内部，一些受信任的内部用户并没有得到足够重视和预防性的数据安全保护控制，很多内部人员的违规行为只有在事件发生后才会被发现。

另一方面，评估内部人员安全事件所带来的数据丢失则更加困难。75%的CISO表示他们在公司中没有做到这一点。

Kubernetes公司KSOC的联合创始人兼首席技术官Jimmy Mesta表示，内部人员风险几乎存在于每个行业，从短暂停机到数据完全丢失，内部人员风险可能会造成任何程度的损失。另一方面，随着企业IT基础设施的不断增加和云应用越来越复杂，内部人员风险在某种情况下几乎无法检测到。因为这些风险并不全是主观故意或恶意的行为，因此很多检测措施在面对这种风险几乎无计可施。例如，更改公共云帐户的命令行可以在不触发可疑事件日志的情况下向互联网开放大量私人数据库。

CISO将内部风险（27%）列为最难检测的威胁，高于云数据暴露（26%）和恶意软件/勒索软件（22%）。

有71%的IRM计划执行者表示，即便有这个计划，他们仍有可能在一年内遭遇内部人员事件。更重要的是，79%的CISO表示他们可能会因此失业。这些IRM计划使用的技术包括IRM（97%）、用户和实体行为分析/用户活动监控（97%），企业数据丢失预防（97%）和安全意识培训/教育（96%）以及云访问安全代理（96%）的组合。

导致IRM失败的原因之一是缺乏安全培训。绝大多数（93%）的CISO认为，当下的混合办公环境（分工不细致以及远程办公等）推动了组织对安全培训的关注和需求，但超过7成的CISO认为，领导团队仍然足够重视内部人员造成的数据丢失等事件。目前，每月进行安全培训的组织已经从原来的32%下降到27%，而每周进行安全培训的组织则更少。

由于当下的技术和程序无法检测非恶意行为，这导致内部人员造成的安全事件进一步增加。此外，大多数受访者认为“意外”是最令人担忧的内部人员事故类型，因为他们认为这是由于员工缺乏安全培训。

Mesta认为，这些意外事件通常来自于对“最低权限”访问的控制和检测。他认为，云配置错误一直是最大的安全威胁，但现在越来越多的企业关注到了这一点，他们会使用API防护等工具来改善这一点，但对于内部人员事件，很多企业并没有注意到。通常情况下，内部人员只是试图通过以未经批准的方式导出数据或使用超出本人权限的身份查看并共享数据，Furtado认为，这些人甚至不知道自己做错了什么。

调查报告显示，预算不足也是一个因素，有69%的人谈到了明年的预算扩张计划。