对于数据安全问题，企业间有着很高程度对法律责任的认识，但并没有弄清楚如何通过追踪敏感数据来控制风险。该报告采访了50多个国家的476名IT专业人士，其中大部分受访者位于美国和英国。根据该报告显示，63%的企业没有完全成熟的方法来控制和追踪敏感数据。

“这意味着很多企业不知道他们的敏感数据在什么位置，谁能够访问它以及它的移动位置，”Trustwave公司高级副总裁Phil Smith表示，“这种信息类型是构建安全战略的第一步。”

如果企业不知道其敏感数据是什么及其位置，那么，企业如何可以保护这些数据呢?Smith表示，风险评估的第一部分应该是查明企业内敏感数据的位置。企业应该知道有哪些敏感数据、位置所在以及其移动的方向和谁有权访问它。

该报告还发现，虽然58%的企业使用第三方来管理敏感数据，但48%的企业实际上并没有部署第三方管理程序。

“很多企业(特别是零售业)外包支付流程到第三方供应商，让他们可以访问敏感支付卡信息，”Smith表示，“然而，他们不知道这些供应商正在如何保护其数据。”

安全支付处理的问题显得尤为重要，特别是在2014年发生了那么多零售业数据泄露事故。Smith建议企业与他们所使用的第三方供应商进行沟通，让每一方都知道自己在数据保护方面的责任。此外，他建议企业对与第三方的合同构建安全要求。

虽然企业可能无法面面俱到地保护数据，但Trustwave调查发现企业对法律责任有着很高的意识。60%的企业表示他们知道其保护敏感数据安全的法律责任。该调查发现，只有21%的企业没有任何安全意识培训，这意味着多数企业实际上有某种形式的安全培训计划。

此外，大多数受访者表明，携带自己设备到工作场所(BYOD)控制已经部署到位。只有38%的受访者指出其企业并没有任何BYOD控制。

Smith称：“仍然有很多企业没有围绕BYOD的安全政策和程序。”

补丁管理是安全企业的重要组成部分，但研究发现，58%的企业没有完全成熟的补丁管理流程。Smith指出，在很多情况下，企业专注于部署更严格的访问控制、入侵防御/检测设备和其他外围安全，而将补丁修复和维护现有系统放在较低优先级。

该研究的另一个重要发现是，董事会对企业安全的参与性很强。45%的企业都有董事会级或者高管级管理层参与了安全事务。安全是一个自上而下的问题。

“企业各阶层都应该将安全视为重点问题，从技术IT专业人员到非技术性员工和管理人员，”Smith表示，“C级高管不仅应该询问其IT团队，我们的数据安全吗?还应该问，我们的数据是如何受到保护?部署了什么控制措施?”