数据安全管理不能只是为了限制组织中数据的使用,也不能仅仅是提供组织内数据出现泄露甚至是组织因数据安全受到监管惩罚后的解决方案。数据安全管理需要更有效地促进组织内数据资产的流通,并最大限度地避免数据安全事故。
一、为什么需要数据安全管理?
关于为什么需要数据安全管理,目前估计大多数企业数据管理者都应意识到数据安全的重要性。在这里简要地分享一下相关数据及观点:
1、数据泄露的类型占比:
2、数据威胁的内外部环境分析:
3、数据威胁对组织的影响及CIA:
4、数据安全业务驱动
5、数据安全管理的好处
6、三道防线及业务价值体现
二、被动数据安全与主动数据安全
被动数据安全:组织需要有外部因素的推动才优先考虑数据安全管理。(如新法规或数据泄露后)
主动数据安全:积极主动制定和实施数据安全战略及相关策略,而不是等待有事件触发了数据安全规划。保障数据对业务连续性的价值
了解数据(价值、位置和访问)是保护数据安全的关键。数据安全意味着保护数字数据免受破坏性力量、未经授权的用户不必要的操作和意外丢失的影响。
主动数据安全可帮助您的组织:
•通过避免日常商务和功能中断来实现业务连续性
•满足合规性和法规要求,以避免罚款、处罚和法律问题
•保护您的声誉和作为值得信赖的组织的地位,并建立品牌忠诚度
•使用准确、可访问的数据获得并保持竞争优势
•防止组织中的失业 - 前几年近三分之一的违规公司都发生过这种情况
考虑五个问题(5W)建立主动的数据安全策略及路线:
1. 谁负责数据安全?所有人都有保护组织的数据的责任!
每个组织都有需要保护的数据,无论它有客户、患者、捐赠者还是志愿者。每个事务或交互都会产生数据。
如果每个组织都有需要保护的数据(包括您的数据),那么组织中谁负责保护这些数据?你是。他是。她也是。组织内的每个人都可以在保护数据方面发挥作用。
•员工
需要接受有关保护数据的基本原则的培训,并了解常见的网络钓鱼攻击、恶意软件、社会工程以及犯罪分子用来获取内部人员访问资源和数据的其他工作。
•企业领导层
必须将数据视为资产,以实现保护数据所需的资源、工具和文化。收集数据也带来了责任,因此保护数据成为企业当务之急。
•IT 团队
负责领导组织积极实施和维护数据安全最佳实践。
2. 哪些数据需要保护?
从安全角度看待数据,要了解的最重要的类别是结构化还是非结构化的数据。
3. 制定数据安全策略时应该从哪里开始?
这些是主动数据安全策略所需关注的主要领域:
发现数据位置:确定组织所有数据的存储位置,包括文件服务器、数据库服务器和云服务。第一步至关重要,因为您无法保护您不知道的数据。这一部分可以通过与应用程序所有者的访谈以及环境中已有工具的使用来实现,例如网络扫描、DLP 报告和 CASB 报告。
对数据进行分类:标识发现的数据内容。此过程需要在整个组织中进行跨域操作讨论。每个部门将最好地了解他们正在使用哪些数据以及如何使用。让他们协助对他们的数据集进行分类。数据发现/分类工具可以通过扫描数据存储,然后报告存储的敏感信息(如 PII、PHI 和 PCI 数据)来加快该过程。分类简要明晰效果最好 — 整个企业都可以轻松理解公共、私有和内部使用的分类。
监控访问:活动监控将告诉您谁和什么对象在访问您的数据 - 用户、应用程序、批处理等。监视/审核敏感信息的访问为正常活动建立基线。此基线用于围绕应允许的内容以及应被视为异常的内容创建策略。
应用策略:对于静态数据,确定是否需要加密文件或文档、备份频率以及满足 SLA 要求所需的可用性级别。动态数据需要了解谁可以访问数据以及谁应该能够访问数据。这涉及通过访问监控了解人员、流程和应用程序的当前访问,然后删除任何不必要的访问。这也可以称为权利审查。它包括了解您的数据是否可以移动、存储或共享,然后适当地放置所需的控件。
评估漏洞并修复:检查并重新检查您的操作系统、数据库系统和数据存储漏洞。根据需要修补和配置,以使这些系统保持最新和安全。漏洞评估是另一个需要自动化工具的领域。这些工具可以与访问监控解决方案捆绑在一起,也可以作为独立解决方案捆绑在一起。
修改策略:根据您的数据分类和活动监控,定期重新审视您的策略并根据需要进行更新,以确保正确处理所有数据用例。除了定期评审计划外,还应在访问模式更改或实施新要求时收到警报,以便使策略保持最新。
4. 何时应用数据安全策略?
主动数据安全方法要求不间断地应用已建立的数据安全控制和保护。结构化数据很少是静态的。随着您继续使用和获取数据,主动方法是一个持续的过程。以下都需要应用数据安全控制,以确保它们是全面的,并对必要的数据应用所需的保护:
•在数据开始时,包括开发或实施新应用程序,或者由于合并或收购而载入数据时
•添加新数据存储时
•当实施影响您的组织的新法规时
5. 为什么需要保护数据?
组织中的每个人不仅负责保护数据;发生数据泄露或数据丢失时,组织中的每个人都会受到影响。
三、数据安全最佳实践的十个步骤
数据安全管理可以通过审核数据的五个方面来考虑如何进行数据安全管理:
关于数据安全管理,以下十个步骤是可以参考最佳实践方案:
(1)定义敏感数据
数据安全的目的是在组织的敏感和关键数据创建、存储、管理和传输过程中对其进行保护。
(2)制定数据安全政策
第二个任务是组织所有网络安全机制、活动和控制,以形成一个工作策略。使组织的人力和技术资源有效地支持您的数据安全工作。
(3)制定事件响应计划
事件响应计划规定了处理网络安全事件(数据泄露、黑客攻击或泄露)并及时减轻后果的行动。相关法律、行业标准和组织规范描述了事件响应要求。在规划事件响应时,需要:
定义安全事件、其变体及其对组织后果的严重性;
选择负责处理事件的人员;
执行安全审核,根据以前的事件改进计划,并列出组织可能面临的案例的扩展列表;
制定严格的沟通计划和在发生事件时应通知的权限列表;
此外,创建数据恢复计划,以确保在任何可能的事件后可以快速恢复您的数据和系统。
(4)确保安全的数据存储
在实施其他数据保护之前,请确保数据安全的存储策略的执行。
1)安全存储包含数据的物理介质
2)实施保护数据的存储方法(备份、加密、脱敏、确认探险)
3)管理所有存储设备
(5)精细地限制对关键资产的访问
物理访问控制 、实施身份验证管理、采用最小特权或实时特权访问管理原则。
(6)持续监控用户活动
用户活动监控工具的能力可能会有:可疑行动的自动通知、事故特征响应、使用元数据记录用户会话。
(7)管理第三方相关风险
始终建议监控第三方对所有关键系统的操作。即使您信任您的承包商,他们的系统也有可能容易受到黑客的攻击。
(8)特别注意特权用户
密切监视特权用户,因为他们具有访问和更改组织敏感数据的提升权限。
(9)对所有员工进行数据安全风险教育
教育您的员工如何安全地处理您的公司资产以及如何识别恶意软件和外部攻击。
不要忘记提供新的培训,以提供有关数据威胁形势的最新信息,并为新员工创建课程。定期对您的员工和学员进行教育。
(10)部署专用数据安全软件,防止潜在事故