By Jeffrey - 资深IT经理人,IT运营和安全顾问,历任多家知名跨国企业包括麦肯锡大中华区、通用电气公司、壳牌石油、英美烟草等公司IT总经理
一、将合规视为终点而不是起点
合规会加强企业的数据安全,但并不等同于完全。认为合规了就可以高枕无忧的企业会变得自满。许多大型数据泄露事件都发生在纸面上完全合规的组织中。下面的例子表明,仅仅关注合规性如何会削弱数据安全。
间断合规
许多企业往往在年度审计之前才争先恐后地解决数据合规性问题,已符合合规要求,而实际上,对基础错误配置和过时访问政策的风险评估应该是持续的。有效的数据安全是一场马拉松,而不是一场短跑。
满足要求就可以了
许多企业采用数据安全解决方案只是为了满足法律或商业伙伴的要求。这种 "让我们实施一个最低标准,然后可以高枕无忧 "的心态会对良好的安全实践产生影响。
关注度降低
当企业渐渐满足萨班斯-奥克斯利法案(SOX)、通用数据保护条例(GDPR)等法规时,可能会对数据安全管理感到自满。随着时间的推移,管理层对受监管数据的隐私、安全和保护的关注可能会减少,但其实相关的风险和成本却不会降低。
忽视不受监管的数据
企业数据如知识产权如果丢失,会使企业面临风险。仅仅关注合规性可能会导致安全组织忽视和未充分保护宝贵的数据。
认识到合规是一个起点,而不是终点
数据安全必须建立战略方案,始终如一地保护企业的关键数据,而不是简单地回应合规要求。数据安全和保护计划应包括这些核心做法:
– 发现并分类敏感数据、跨企业内部和云数据存储
– 通过数据关联和分析来评估风险
– 通过加密和灵活的访问策略保护敏感数据
– 监测数据访问和使用模式,以迅速发现可疑的活动
– 对威胁作出实时反应
– 简化合规及其报告
归根结底,应该从整体上考虑要保护的数据的风险和价值。
二、对数据的安全必要性缺乏敏感
对于拥有混合多云环境的企业来说,由于其不断变化和发展,会不断地出现新类型的数据源,大大分散了敏感数据,从而可能使得组企业管理层忽视一致的、企业范围内的数据安全需求。
正在增长和扩大其IT基础设施的公司管理者可能没有认识到他们不断变化的IT基础设施所带来的风险。当企业的敏感数据在日益复杂和不同的IT环境中传递时,企业可能缺乏足够的可见性和控制。未能及时采用端到端的数据隐私、安全和保护控制,特别是在复杂的环境中,可能变成一个非常昂贵的疏忽。
了解敏感数据存放在哪里,包括企业内部和云端托管存储库
确保敏感数据的安全应与更广泛的安全努力结合起来。除了了解企业的敏感数据被存储在哪里,一个IT管理者还需要知道员工何时以及如何访问这些数据,以及这些数据是如何被使用的,更进一步,IT人需要预见这些信息是如何在不断迅速变化的。
此外,IT经理应该努力整合数据安全和保护政策,以及企业的整体安全计划,使技术,系统,用户以及管理者之间的沟通紧密结合。设法寻找一个能在企业现有的不同环境和平台上运行的数据安全解决方案或许有助于帮助解决问题。
三、未能界定数据拥有责任
即使意识到数据安全的必要性,许多公司也没有专业IT人员负责保护敏感数据,业没有外部安全顾问来提供帮助。这种情况往往在数据安全或审计事件中凸显出来。 高层管理人员可能会觉得,企业有IT员工,就应该没有问题了。 但一般的IT人的工作职责往往是保持关键系统的运行。并没有针对数据安全做过专门培训或者能够担负起责任。甚至很多企业存在存放敏感数据的数据库但却缺乏安全预算。
在许多公司,数据是其最宝贵的资产之一。但在通常情况下,没有人明确地对数据本身负责。对于一个组织来说,如果没有所有权责任,如何保护敏感数据就会成为一项挑战。
雇用一名CDO、DPO或聘用外部安全顾问,专门负责敏感和关键数据资产的安全
设立一名专职的首席数据官(CDO)或数据保护官(DPO)可以承担这些职责。事实上,随着法律法规对企业的数据安全和敏感信息处理要求越来越严格的情况下,开展业务的公司面临压力来设立一个数据安全专员。而对于中小企业,在考虑成本压力时,从外部聘请一位数据安全顾问是一个不错的选择。在寻找CDO、DPO或外部顾问时,企业需要考虑以下目标和责任。
- 技术知识和商业意识:结合实际的商业案例评估风险,使非技术性的企业领导人能够理解适当的安全投资。
- 战略实施:在技术层面上制订计划,应用检测、响应和数据安全控制来提供保护。
- 合规领导:了解合规性要求,并知道如何将这些要求应用到数据安全控制上,从而使企业合规。
- 监测和评估:监测威胁状况,衡量数据安全计划的有效性 。
- 灵活性和扩展性:知道何时以及如何调整数据安全战略,如通过整合更先进的工具在新的环境中扩大数据访问和使用政策。
- 监督供应商:与云服务提供商就服务级别协议(SLA)以及与数据安全风险和补救措施相关的责任设定预期。
- 数据泄露应对计划:要准备好发挥关键作用,与管理层一道,制订一个战略性的违约缓解和响应计划。
最终,CDO、DPO或顾问应该与管理层一起,带头促进整个团队和整个企业的数据安全合作,因为每个人都需要一起工作来有效地保护企业数据。这种合作可以帮助监督企业所需 的项目和保护措施,以帮助保护其敏感数据。
四、放任已知的漏洞
企业中引人注目的漏洞往往是是已知的漏洞 ,甚至在发布补丁后仍未得到修补。 黑客往往会主动扫描并寻找这些容易进入的漏洞。如果不能迅速修补,就会使企业的数据处于危险之中。 然而,许多企业发现快速打补丁具有挑战性 ,因为IT、安全人员和用户组之间需要协调。此外,补丁往往需要在测试环境中先行测试,以了解是否它们不会在生产环境中产生问题甚至引入一个新的漏洞。 而且,在云环境中,有时很难知道企业的云服务商或应用组件提供商有没有及时打补丁。即使在一个服务中发现了漏洞,用户往往对服务提供商的修复过程缺乏控制。
利用适当的技术和系统建立一个有效的漏洞管理计划
漏洞和补丁管理通常涉及以下一些层面:
– 为数据资产保持一个准确的库存和基线状态
– 对整个基础设施,包括云资产,进行定期和频繁的漏洞扫描和评估
– 考虑漏洞被利用的可能性以及该事件对业务的影响,并确定漏洞修复的优先次序
– 将漏洞管理和反应能力作为与第三方服务供应商的服务响应协议的一部分
– 尽可能地加密存储敏感或个人数据
– 采用适当的加密密钥管理,确保加密密钥的安全存储和适当循环,以保证加密数据安全
即使在一个成熟的漏洞管理项目中,也没有一个系统可以做到完美。IT管理者必须假设入侵可能发生,即使是在保护得最好的环境中,企业的数据一定需要额外的保护。 一套正确的数据加密技术和能力可以帮助保护数据免受新的和正在出现的威胁。
五、未能采用现代和先进的数据活动监测方法
监测数据访问和使用是任何数据安全战略的一个重要组成部分。一个企业的IT管理者需要知道何人、何时以及如何访问数据。这种监控应该包括这些人是否应该有访问权,访问级别是否正确,以及它是否代表了企业的高风险。
特权用户是内部威胁的常见罪魁祸首。数据保护计划应包括实时监控,以检测特权用户账户被用于可疑或未经授权的活动。为了防止可能的恶意活动,一个解决方案必须执行以下任务:
– 根据违反政策的情况,阻止和隔离可疑的活动
– 根据异常行为,暂停或关闭会话
– 在整个数据环境中使用预定义的特定法规工作流程
– 向IT安全和运营系统发送明确的警报,以利于立即采取行动
对数据安全和合规性相关信息进行审核,并知道何时以及如何应对潜在的威胁可能是很困难的。随着授权用户访问多个数据源,包括数据库、文件系统、主机环境和云环境,监测和保存来自所有这些互动的数据需求呈几何指数增长。挑战在于如何有效地监测、捕获、过滤、处理和应对大量的数据活动。如果没有一个适当的计划,对企业产生和存储的海量数据不能及时进行处理,反过来会降低数据活动监测的价值。
作为IT安全专职人员,应该制定一个全面的数据检测和保护战略
在开始数据安全之旅时,需要确定监测的规模和范围,以适当应对安全需求和风险。如果必要,引入阶段实施,以便在整个企业中发展和扩展最佳实践。此外,尽可能在这个过程的早期就与关键的业务和IT利益相关者进行交流,以了解短期和长期的业务目标。这至关重要!
这些对话还应该涵盖到企业未来近期和长期的发展。例如,如果企业计划在一个新的地理区域设立办事处,并混合使用企业内部和云托管的数据存储库,数据安全战略应评估该计划将如何影响组织的数据安全和合规性。
还应该优先考虑并关注一两个可能拥有最敏感数据的来源。确保数据安全政策对这些来源是明确和详细的,然后再将这些做法扩展到基础设施的其他部分。
如果需要,可以在市场上寻找一个现有且声誉良好,具有丰富分析功能的自动数据或文件活动监控解决方案,它可以关注关键风险和特权用户的异常行为。当数据或文件活动监控解决方案检测到异常行为时,有一个系统来自动触发和分发警报是非常重要的,当发现异常情况或偏离数据访问策略时,IT管理者或数据安全经理也需要一个系统协助快速采取行动。保护数据,屏蔽或阻断攻击。
当制定数据活动监测和保护计划时,考虑以下问题往往很有帮助。
– 企业排名最敏感的前三个数据源是什么?
– 根据敏感数据的数量,接下来应该优先考虑哪五到十个数据源?
– 某些端点或云资产是否与高风险数据有关?
– 敏感数据是否在企业内部、混合和云环境之间自由流动?
– 哪些用户应该被授予对数据源的访问权,在什么条件下?
– 哪些高风险用户或特权账户需要被关闭或需要更严格的审查?
– 数据安全解决方案是否支持实时活动监测和自动数据保护能力?
– 实时监控是否到位,以跟踪驻留在数据存储的文件中的数据,如结构化查询( SQL)数据库、Hadoop分布等。
– 监控解决方案是否考虑到跨越混合多云环境的数据存储,并允许生成定制报告,在正确的时间发送给正确的人?
– 是否拥有有效确定风险、漏洞和修复工作优先次序所需的风险分析和过滤监控能力?
对监控的优先级和保护要求越具体,解决方案对应用其可用的检测和响应资源就越有效。
然后呢?
如何才能避免这些常见的数据安全隐患,特别是在越来越多的公司追求混合多云环境的情 况下?首先要认识到这个问题,并让企业准备好采取主动和全面的方法来保护数据,无论 数据在哪里。
为保护企业的宝贵数据,可以立即采取的下一步措施包括:
– 建立一个支持企业的短期和长期业务和技术目标的数据安全战略
– 用适当的人员、程序和工具来实施这一战略
– 规划资源,以确保数据安全和合规性计划能够在企业业务扩张时同步有效扩展
1624
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
