黑客們正在利用這一點(diǎn)。例如,國(guó)際刑警組織(Interpol)和美國(guó)商會(huì)(U.S.ChamberofCommerce)都報(bào)告稱,自疫情開(kāi)始以來(lái),網(wǎng)絡(luò)攻擊的發(fā)生率大幅增加。
因此,無(wú)論組織做什么,如果它處理個(gè)人身份數(shù)據(jù)(PII),提高數(shù)據(jù)安全性是2022年及以后的絕對(duì)必須。以下是關(guān)于組織數(shù)據(jù)安全的信息,包括最常見(jiàn)的威脅、法律遵從性要求和最佳實(shí)踐。
一為什么數(shù)據(jù)安全很重要
數(shù)據(jù)安全至關(guān)重要,因?yàn)閿?shù)據(jù)泄露可能會(huì)對(duì)組織產(chǎn)生嚴(yán)重影響。首先,這通常意味著財(cái)務(wù)上的損失,根據(jù)IBM和波耐蒙研究所的數(shù)據(jù),2020年平均數(shù)據(jù)泄露的損失為386萬(wàn)美元:
與數(shù)據(jù)泄露相關(guān)的最大一部分直接成本來(lái)自業(yè)務(wù)損失。然而,71%的首席營(yíng)銷官認(rèn)為,違約的最大影響是它將影響品牌資產(chǎn)和品牌價(jià)值。
根據(jù)品牌評(píng)估機(jī)構(gòu)Interbrand的說(shuō)法,一個(gè)品牌的價(jià)值很大一部分來(lái)自“這個(gè)品牌在購(gòu)買決策中所扮演的角色”。換句話說(shuō),強(qiáng)大的品牌資產(chǎn)實(shí)際上可以提高客戶為你的產(chǎn)品或服務(wù)付費(fèi)的意愿。
但這也意味著糟糕的品牌資產(chǎn)可能會(huì)產(chǎn)生相反的效果。研究表明,65%到80%的消費(fèi)者會(huì)對(duì)泄露他們數(shù)據(jù)的公司失去信任,這對(duì)品牌資產(chǎn)是一個(gè)重大打擊,數(shù)據(jù)泄露的潛在影響可能會(huì)影響未來(lái)幾年的品牌。
信任缺失對(duì)品牌形象的實(shí)際影響很大程度上取決于違約的細(xì)節(jié),以及它如何影響客戶等等。但無(wú)論如何,失去信任會(huì)對(duì)你的業(yè)務(wù)產(chǎn)生持續(xù)多年的影響。
二數(shù)據(jù)安全、數(shù)據(jù)保護(hù)、數(shù)據(jù)隱私
數(shù)據(jù)安全常常與類似的術(shù)語(yǔ)如“數(shù)據(jù)保護(hù)”和“數(shù)據(jù)隱私”相混淆,因?yàn)樗鼈兌际侵副Wo(hù)數(shù)據(jù)的方法。然而,這些術(shù)語(yǔ)之間的區(qū)別在于首先保護(hù)數(shù)據(jù)的原因,以及這樣做的方法:數(shù)據(jù)安全指的是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問(wèn)或使用,這些訪問(wèn)或使用可能導(dǎo)致數(shù)據(jù)暴露、刪除或損壞。
數(shù)據(jù)安全的一個(gè)例子是,如果你的數(shù)據(jù)被攻破,可以使用加密來(lái)防止黑客使用。數(shù)據(jù)保護(hù)是指對(duì)數(shù)據(jù)進(jìn)行備份或復(fù)制,以防止意外刪除或丟失。
數(shù)據(jù)保護(hù)的一個(gè)例子是創(chuàng)建數(shù)據(jù)備份,這樣即使數(shù)據(jù)損壞或者自然災(zāi)害破壞了服務(wù)器,也不會(huì)永遠(yuǎn)丟失數(shù)據(jù)。數(shù)據(jù)隱私指的是關(guān)于如何處理數(shù)據(jù)的監(jiān)管問(wèn)題、通知問(wèn)題和使用許可問(wèn)題等。數(shù)據(jù)隱私的一個(gè)例子是,通過(guò)使用Cookies獲得網(wǎng)站訪問(wèn)者的數(shù)據(jù)收集同意。
三數(shù)據(jù)安全合規(guī)和法規(guī)
大多數(shù)國(guó)家都有公司必須遵守的嚴(yán)格的數(shù)據(jù)安全規(guī)定。違反這些規(guī)定的后果可能導(dǎo)致巨額罰款。不幸的是,法規(guī)遵從性通常很難把握,因?yàn)樾枨髸?huì)因國(guó)家而變化,或者在一些國(guó)家,如美國(guó),需求會(huì)因地區(qū)而變化,并且與正在處理的數(shù)據(jù)類型有關(guān)。因此,你能做的最好的事情之一就是確保你身邊有知識(shí)淵博的顧問(wèn),他們可以幫助你了解法律要求。
然而,以下是一些可能影響您的組織的最重要和影響最廣泛的數(shù)據(jù)治理規(guī)則。
(1)《中華人民共和國(guó)數(shù)據(jù)安全法》
《數(shù)據(jù)安全法》2021年9月1日起正式施行,明確數(shù)據(jù)安全主管機(jī)構(gòu)的監(jiān)管職責(zé),建立健全數(shù)據(jù)安全協(xié)同治理體系,提高數(shù)據(jù)安全保障能力,促進(jìn)數(shù)據(jù)出境安全和自由流動(dòng),促進(jìn)數(shù)據(jù)開(kāi)發(fā)利用,保護(hù)個(gè)人、組織的合法權(quán)益,維護(hù)國(guó)家主權(quán)、安全和發(fā)展利益,讓數(shù)據(jù)安全有法可依、有章可循,為數(shù)字化經(jīng)濟(jì)的安全健康發(fā)展提供了有力支撐。
(2)《中華人民共和國(guó)個(gè)人信息保護(hù)法》
《中華人民共和國(guó)個(gè)人信息保護(hù)法》,自2021年11月1日起施行。作為我國(guó)首部針對(duì)個(gè)人信息保護(hù)的專門性立法,《個(gè)人信息保護(hù)法》構(gòu)建了完整的個(gè)人信息保護(hù)框架,對(duì)個(gè)人信息處理規(guī)則、個(gè)人信息跨境傳輸、個(gè)人信息處理活動(dòng)的權(quán)利、信息處理者的義務(wù)、監(jiān)管部門職責(zé)以及罰則等作出了全面的規(guī)定。
(3)通用數(shù)據(jù)保護(hù)監(jiān)管(GDPR)
GDPR是歐盟的數(shù)據(jù)保護(hù)和隱私法。它于2016年通過(guò)并于2018年實(shí)施,以保護(hù)消費(fèi)者,并統(tǒng)一有關(guān)國(guó)內(nèi)和國(guó)際企業(yè)數(shù)據(jù)管理的規(guī)定。
GDPR要求任何處理個(gè)人數(shù)據(jù)的組織實(shí)施“適當(dāng)?shù)募夹g(shù)和組織措施”來(lái)保護(hù)該數(shù)據(jù)(包括獲得個(gè)人存儲(chǔ)和使用該數(shù)據(jù)的同意)。這意味著在收集用戶數(shù)據(jù)時(shí)需要征得用戶的同意,在數(shù)據(jù)被破壞時(shí)將數(shù)據(jù)匿名化以保護(hù)用戶,并遵循在數(shù)據(jù)被破壞時(shí)通知用戶的具體指導(dǎo)原則。
(4)健康保險(xiǎn)流通與責(zé)任法案(HIPAA)
HIPAA是美國(guó)關(guān)于電子保護(hù)健康信息(ePHI)的數(shù)據(jù)安全和保護(hù)法。該法案于1996年通過(guò),旨在控制和現(xiàn)代化個(gè)人健康數(shù)據(jù)管理,包括欺詐和盜竊保護(hù)標(biāo)準(zhǔn),保險(xiǎn)公司如何利用它向個(gè)人收取服務(wù)費(fèi)用,等等。
對(duì)于任何處理ePHI的公司,HIPAA都需要特定的技術(shù)、物理和管理保障。違規(guī)者可被處以10年監(jiān)禁,罰款從10萬(wàn)美元到25萬(wàn)美元不等。
(5)薩班斯-奧克斯利法案(SOX)
薩班斯-奧克斯利法案于2002年通過(guò),旨在更好地保護(hù)公司投資者免受欺詐性金融活動(dòng)的傷害。它是為了應(yīng)對(duì)一些著名的公司會(huì)計(jì)丑聞(例如安然公司)而設(shè)立的,旨在增加對(duì)不準(zhǔn)確或不完整的財(cái)務(wù)報(bào)告(包括篡改財(cái)務(wù)數(shù)據(jù)以某種方式呈現(xiàn))的懲罰。它還包括有關(guān)管理企業(yè)財(cái)務(wù)信息獲取的規(guī)定。SOX主要適用于上市公司及其披露財(cái)務(wù)信息的方式。但也有一些因素同樣適用于私營(yíng)企業(yè)——例如,偽造財(cái)務(wù)記錄或報(bào)復(fù)舉報(bào)金融犯罪的員工。
(6)聯(lián)邦信息安全管理法(FISMA)
FISMA于2002年通過(guò),以標(biāo)準(zhǔn)化美國(guó)聯(lián)邦機(jī)構(gòu)處理數(shù)據(jù)的方式。它要求任何聯(lián)邦機(jī)構(gòu)(以及任何作為分包商/服務(wù)提供商的私營(yíng)企業(yè))遵守嚴(yán)格的信息安全政策(FIPS200)和審計(jì)程序,以確保它們得到遵守。
四數(shù)據(jù)安全的最大威脅
當(dāng)人們想到數(shù)據(jù)安全的威脅時(shí),首先想到的往往是黑客入侵您的服務(wù)器。但現(xiàn)實(shí)是,數(shù)據(jù)安全的最大威脅往往來(lái)自內(nèi)部,是員工不安全行為的結(jié)果。
例如,IBM和波耐蒙研究所(ThePonemonInstitute)在2020年研究了數(shù)據(jù)泄露的根本原因,發(fā)現(xiàn)最主要的兩個(gè)原因是泄露憑證,通常是由于弱密碼和云配置錯(cuò)誤,讓公眾可以訪問(wèn)敏感數(shù)據(jù);數(shù)據(jù)泄露的另一個(gè)主要原因(網(wǎng)絡(luò)釣魚詐騙)也是正確的員工培訓(xùn)可以防止的事情。IBM的研究表明,教員工如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚郵件和其他社會(huì)工程攻擊將有助于減少17%的數(shù)據(jù)泄露。
所有這些都說(shuō)明,雖然像防火墻這樣的技術(shù)對(duì)于保護(hù)您的數(shù)據(jù)免受安全威脅很重要,但您的團(tuán)隊(duì)的警惕可能更重要。
五數(shù)據(jù)安全技術(shù)的類型
有幾種不同的技術(shù)可以用來(lái)保護(hù)數(shù)據(jù)。盡可能多地使用這些技術(shù),以確保所有潛在的訪問(wèn)點(diǎn)都是安全的。
(1)身份驗(yàn)證
身份驗(yàn)證是驗(yàn)證用戶的登錄憑證(密碼、生物特征識(shí)別等)以確保它確實(shí)是他們的過(guò)程。它是數(shù)據(jù)安全策略中最重要的部分之一,因?yàn)樗欠乐刮唇?jīng)授權(quán)訪問(wèn)敏感信息的第一線防御。
身份驗(yàn)證在概念上很簡(jiǎn)單,但從技術(shù)的角度來(lái)看,很難得到正確的規(guī)模。然而,像單點(diǎn)登錄(SSO)、多因素身份驗(yàn)證(MFA)和破解密碼檢測(cè)等新技術(shù)使得在不犧牲用戶體驗(yàn)的情況下更容易確保身份驗(yàn)證過(guò)程的安全性。
(2)加密
數(shù)據(jù)加密用一種算法來(lái)打亂敏感信息,因此如果沒(méi)有解密所需的特定信息(加密密鑰),就無(wú)法讀取這些信息。這是一個(gè)非常重要的數(shù)據(jù)安全工具,因?yàn)樗梢源_保即使有人未經(jīng)授權(quán)訪問(wèn)你的信息,他們也無(wú)法使用它。您應(yīng)該始終確保您的加密密鑰被安全存儲(chǔ),并將訪問(wèn)它們的權(quán)限限制在盡可能少的人。
(3)令牌化
令牌化類似于加密。然而,令牌化不是用算法打亂數(shù)據(jù),而是用隨機(jī)字符替換數(shù)據(jù)。然后,與原始數(shù)據(jù)(“令牌”)的關(guān)系存儲(chǔ)在一個(gè)單獨(dú)的受保護(hù)的數(shù)據(jù)庫(kù)表中。
(4)數(shù)據(jù)屏蔽
數(shù)據(jù)掩蔽不會(huì)將數(shù)據(jù)轉(zhuǎn)換為中間形式,而是通過(guò)使用代理字符“掩蔽”數(shù)據(jù)字符來(lái)實(shí)現(xiàn)。一旦它被送到目的地,軟件就會(huì)把它倒轉(zhuǎn)過(guò)來(lái)。
(5)物理訪問(wèn)控制
數(shù)據(jù)訪問(wèn)控制也是數(shù)據(jù)安全策略的重要組成部分。數(shù)字訪問(wèn)控制通常是通過(guò)身份驗(yàn)證程序(并限制訪問(wèn)數(shù)據(jù)的授權(quán)用戶的數(shù)量)進(jìn)行管理的,而物理訪問(wèn)控制則管理對(duì)數(shù)據(jù)所在物理位置(數(shù)據(jù)中心或內(nèi)部服務(wù)器室)的訪問(wèn)。
物理訪問(wèn)管理控制包括保護(hù)措施,如鑰匙卡,生物認(rèn)證措施,如指紋識(shí)別和視網(wǎng)膜掃描,以及安全人員。
六確保數(shù)據(jù)安全的最佳實(shí)踐
全面的數(shù)據(jù)安全計(jì)劃有很多活動(dòng)組成,所有的工作都是實(shí)時(shí)的,以確保數(shù)據(jù)是安全的。您的計(jì)劃的具體實(shí)現(xiàn)將取決于組織的計(jì)算系統(tǒng)的大小和結(jié)構(gòu)。
因此,這里的內(nèi)容并不意味著要一步一步地分解創(chuàng)建完美的數(shù)據(jù)安全所需的一切;本文概述了一些重要概念,這些概念共同為數(shù)據(jù)安全奠定了良好的基礎(chǔ)。
(1)存儲(chǔ)數(shù)據(jù)的安全
數(shù)據(jù)安全的一個(gè)基本部分是保護(hù)存儲(chǔ)的數(shù)據(jù)。這里有三個(gè)最佳實(shí)踐,可以提高你的數(shù)字和物理存儲(chǔ)位置周圍的安全性:
管理對(duì)敏感信息的訪問(wèn)。根據(jù)用戶ID來(lái)管理誰(shuí)可以訪問(wèn)您的數(shù)據(jù),這是一種將敏感信息限制為僅供需要查看的人使用的好方法。這就限制了如果某人的用戶名或登錄信息被盜所造成的損失。
加密所有的數(shù)據(jù)。加密是保證數(shù)據(jù)安全的最佳工具之一。它可以幫助確保黑客不能使用他們可能掌握的任何信息。還應(yīng)該確保對(duì)傳輸進(jìn)行加密,以便為您發(fā)送的任何信息增加另一層安全。
從源頭保護(hù)用戶數(shù)據(jù)。當(dāng)客戶和員工首次登錄(或多次登錄)時(shí),可以使用統(tǒng)一登錄等安全的身份驗(yàn)證實(shí)踐來(lái)驗(yàn)證和保護(hù)他們的信息。這不僅簡(jiǎn)化了流程,減少了流失的風(fēng)險(xiǎn),而且還有助于將所有敏感數(shù)據(jù)組織在一個(gè)位置,而不是在容易丟失的多個(gè)數(shù)據(jù)庫(kù)和電子表格中。
(2)為安全威脅做好準(zhǔn)備
網(wǎng)絡(luò)安全威脅是不斷發(fā)展和變化的,因?yàn)楹诳涂偸窃诎踩到y(tǒng)中尋找漏洞。因此,數(shù)據(jù)安全不是一個(gè)“設(shè)置它,然后忘記它”的活動(dòng),而是一個(gè)日常活動(dòng)。
以下是為潛在的攻擊以及發(fā)生的任何攻擊的后果做好準(zhǔn)備的主要方法:
加強(qiáng)系統(tǒng)測(cè)試。最好的防御就是好的進(jìn)攻,而在安全數(shù)據(jù)恢復(fù)中最好的進(jìn)攻就是確保你的數(shù)據(jù)從一開(kāi)始就不會(huì)丟失。但是,盡管自動(dòng)化可以幫助監(jiān)控系統(tǒng),但它根本無(wú)法與試圖闖入系統(tǒng)的人類的創(chuàng)造力相提并論。所以,最好是建立一個(gè)內(nèi)部團(tuán)隊(duì)來(lái)對(duì)你的系統(tǒng)進(jìn)行壓力測(cè)試,或者找公司以外的人來(lái)做。
培育安全意識(shí)。常見(jiàn)的數(shù)據(jù)安全攻擊,如魚叉式網(wǎng)絡(luò)釣魚電子郵件和USB陷阱,目標(biāo)是那些沒(méi)有意識(shí)到風(fēng)險(xiǎn)并放松了警惕的員工。每天傳播來(lái)自Proofpoint的提示或?qū)嵤㊣nspiredeLearning的高管培訓(xùn)可以大大降低這些風(fēng)險(xiǎn)。
制定事故管理計(jì)劃。為數(shù)據(jù)泄露的情況制定全面的響應(yīng)計(jì)劃可以極大地限制數(shù)據(jù)泄露對(duì)組織的影響。IT需要知道要做什么,但也應(yīng)該為管理創(chuàng)建指導(dǎo)方針,讓員工知道,以及恢復(fù)的下一步步驟。
創(chuàng)建安全數(shù)據(jù)恢復(fù)計(jì)劃。如果出現(xiàn)了問(wèn)題,或者你需要的東西被刪除或泄露了,準(zhǔn)備好處理這些問(wèn)題是很重要的。對(duì)于許多團(tuán)隊(duì)來(lái)說(shuō),這意味著有一個(gè)定期更新的關(guān)鍵數(shù)據(jù)的備份副本。備份本身必須受到保護(hù),而且應(yīng)該與其他數(shù)據(jù)分開(kāi)。
(3)刪除不在使用的數(shù)據(jù)
總有一天你的數(shù)據(jù)會(huì)過(guò)時(shí)或不再使用。當(dāng)這種情況發(fā)生時(shí),清除這些數(shù)據(jù)是很重要的,因?yàn)槿绻@些數(shù)據(jù)被攻破,它仍然可能傷害到您的用戶。
以你的用戶的舊密碼為例,由于65%的人在多個(gè)網(wǎng)站上重復(fù)使用他們的密碼,如果他們沒(méi)有更改所有數(shù)字賬戶的舊密碼,那么在另一家公司,舊密碼仍然可能被用來(lái)泄露他們的數(shù)據(jù)。
以下是刪除未使用數(shù)據(jù)的兩個(gè)最佳實(shí)踐:
知道如何以及何時(shí)刪除。當(dāng)你需要擺脫數(shù)字信息的時(shí)候,你需要正確地處理它。當(dāng)你不得不把敏感信息寫在紙上時(shí),你會(huì)把它撕碎。你把你的信用卡剪開(kāi),在支票上寫上“無(wú)效”,然后把它們?nèi)拥簟?shù)字?jǐn)?shù)據(jù)也不例外。確保當(dāng)你抹掉這些信息時(shí),它們真的已經(jīng)消失了,而不是在某個(gè)地方徘徊,而不會(huì)回來(lái)咬你一口。
不要忘記物理副本。如果你的任何備份是紙質(zhì)的,存儲(chǔ)在u盤里的,是x光片、縮微膠片或底片或者其他任何與你的數(shù)字系統(tǒng)完全分開(kāi)的物理的東西,不要忘記它們。當(dāng)您刪除不在使用的信息時(shí),請(qǐng)確保流程的一部分是雙重檢查,以查看該信息是否有物理對(duì)應(yīng),如果有,則以實(shí)物方式銷毀它。
(4)進(jìn)行合規(guī)審計(jì)
有一些標(biāo)準(zhǔn)可以幫助降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)。你可能還需要遵守一些法律規(guī)定,以幫助你做同樣的事情。
適用于你的企業(yè)的規(guī)章制度在很大程度上取決于行業(yè)和地點(diǎn),所以你需要做足功課來(lái)評(píng)估哪些是規(guī)章制度。但是,如果您正在處理個(gè)人身份信息,那么您最好對(duì)自己進(jìn)行審計(jì),并確保您的業(yè)務(wù)符合要求。這不僅能讓你避免法律上的麻煩,還能顯著提高數(shù)據(jù)的安全性。
(5)不要忘記移動(dòng)數(shù)據(jù)安全
根據(jù)McAfee的《2020年第一季度移動(dòng)威脅報(bào)告》,僅在2018年上半年,移動(dòng)攻擊就達(dá)到了1.5億次,2019年又增加了30%。隨著移動(dòng)網(wǎng)絡(luò)攻擊的增加,移動(dòng)安全成為數(shù)據(jù)安全策略中更為關(guān)鍵的一部分。
你可以采取以下幾個(gè)步驟來(lái)提高移動(dòng)數(shù)據(jù)的安全性:
定期更新所有應(yīng)用程序,以防止間諜軟件的威脅。
刪除不活動(dòng)的應(yīng)用程序。提供商可能因?yàn)榘踩┒炊鴷和;騽h除對(duì)它們的訪問(wèn)。
在下載新應(yīng)用程序之前,請(qǐng)檢查所請(qǐng)求的權(quán)限列表。如果這些內(nèi)容看起來(lái)太有侵略性,員工應(yīng)該跳過(guò)下載,因?yàn)樗赡馨苿?dòng)惡意軟件。
為每個(gè)新的手機(jī)賬戶創(chuàng)建獨(dú)特的密碼。永遠(yuǎn)不要默認(rèn)為標(biāo)準(zhǔn)登錄。
使用加密數(shù)據(jù)傳輸?shù)耐ㄐ艖?yīng)用程序來(lái)限制訪問(wèn)。
需要多因素身份驗(yàn)證來(lái)訪問(wèn)內(nèi)部工具。
確保員工知道如何遠(yuǎn)程訪問(wèn)他們的設(shè)備。如果設(shè)備丟失或被盜,能夠快速刪除或傳輸信息是至關(guān)重要的。
然而,請(qǐng)記住,移動(dòng)數(shù)據(jù)安全不僅僅適用于智能手機(jī)和平板電腦。現(xiàn)在,它還包括其他移動(dòng)設(shè)備,如智能手表和可穿戴技術(shù)、視頻會(huì)議工具等。
七數(shù)據(jù)安全取決于人
企業(yè)的員工現(xiàn)在比以往任何時(shí)候都是數(shù)據(jù)安全的前線。因此,鼓勵(lì)正確的行為是至關(guān)重要的,以確保不會(huì)發(fā)生違反業(yè)務(wù)要求。
最好的方法之一就是為團(tuán)隊(duì)創(chuàng)造更好的用戶體驗(yàn)。簡(jiǎn)化的用戶體驗(yàn)讓他們更容易遵循網(wǎng)絡(luò)安全的最佳實(shí)踐,比如為每個(gè)應(yīng)用程序使用唯一的密碼,或使用更長(zhǎng)、更復(fù)雜的密碼。
