大多數人都非常關注《隱私工程師宣言》一書作者所說的“訪問階段保護”。Constellation研究公司分析師DionHinchcliffe說,“不幸的事實是,安全沒有邊界。人們再也無法信任任何事物,即使在外圍也是如此。任何人可以連接全球互聯網,網絡攻擊者也可以攻擊所有人。”
前首席信息官WayneSadin對此表示認同,他說:“我特別不喜歡‘外圍’,因為這意味著‘內部=安全,外部=危險’”。他表示,盡管訪問階段保護仍然是安全架構的重要組成部分,但首席信息安全官仍有機會做更多的事情,可以與首席數據官開展合作,以保護其所在公司及其數據的真正價值。
采取這一步驟的原因是,正如首席信息安全官所知道的那樣,網絡攻擊者變得越來越老練。他們有些并不強行攻擊企業防火墻,而是找到眾所周知的窗口。他們這樣做的目的是針對控制數據庫訪問權限的數據庫,并使用網絡釣魚和其他攻擊技術來獲取企業的客戶數據,網絡攻擊者因此可以訪問企業的客戶數據庫中的所有內容。
安全教育仍然很重要,那么有一個問題是:首席信息安全官和首席數據官為什么不積極保護其公司數據?
這是建立合作伙伴關系的一個絕佳機會,因為首席信息安全官可以利用首席數據官的數據知識和治理技能,而首席數據官可以利用首席信息安全官的內部和外部威脅知識。
系統化的數據治理
保護數據的核心要素是使數據治理實現系統化。有了數據治理,任何人(無論職位或級別多高)都不應該有權訪問所有數據。需要的是建立一些安全原則和流程,將控制和信息構建到流程、系統、組件和產品中,以實現對個人信息的授權、公平和合法處理。
具體來說,其合作機會是為個人可識別信息(PII)建立數據治理,并遵守ISO27001標準。企業首席信息安全官和首席數據官目前應該面臨的問題是,如何做好這一點,特別是在傳統企業中。
為此建議企業執行以下三個步驟:
步驟1:建立數據管理
一切都需要從數據管理開始。需要注意的是,數據管理員并不像IT部門那樣關心數據。
只有數據的所有者才知道應該如何管理數據,以及他們的行業在個人可識別信息(PII)方面需要遵循的合規性要求。因此,其首要任務是為數據類建立數據所有者。
通過這樣做,數據管理員需要確保為最終數據所有者提供有關如何維護、管理、治理和保護數據的數據策略。盡管有隱私類型,但在這里關注的是安全性、道德、隱私。Constellation公司的Hinchcliffe表示,保證數據安全的第一步是在組織內建立授權,然后集中足夠的資源來做任何事情。這樣,治理、隱私、安全政策就可以得到充分的制定和實施。
在這里,重要的是要采取一種非侵入性的數據治理方法。這種方法的前提是企業已經在管理數據,但是他們以非正式的方式管理數據,從而導致數據管理方式的效率低下或無效。
這是一個有效的數據治理程序,旨在對有關數據收集、創建、定義、對齊、優先級排序、監視和執行的規則進行整理。這其中包括數據治理規則和數據定義的創建。對于個人可識別信息(PII)尤其如此。
在這里要確定誰可以查看或修改數據。在流程方面,數據治理至少包括以下步驟:1)數據規則和定義;2)決策規則;3)責任;4)控制;5)數據利益相關者;6)數據管理人員;7)數據處理。
在建立數據規則和流程后,首席信息安全官和首席數據官可以實施下一階段,進入步驟2。
步驟2:資料發現
令人悲哀的是,很多企業不知道他們擁有什么數據,甚至不知道數據位于何處。其中包括個人可識別信息(PII)。
因此,這一步驟全部與數據發現有關。首席信息官MartinDavis建議企業在實施第二個步驟時,對數據進行分類,在何處以及如何使用數據,因為無法管理自己不知道的內容。這是必不可少的步驟,因為即使出于保護數據、遵守隱私法規和治理的最佳意圖。在不知道存在公開的數據及其位置時,也無法進行保護。這一過程涉及發現、目錄和元數據創建,這是保護數據的關鍵功能。在發現過程可以自動發現潛在的個人可識別信息(PII)的情況下尤其如此。
步驟3:保護數據
在步驟3中,將策略應用于敏感數據(在數據目錄中!),以便其他人知道如何/不能使用該數據。其目標應該是保護移動的數據和靜止的數據。
為了實現這一點,采用多種數據保護技術。在這里,除了數據庫加密之類的粗粒度控制之外,還必須執行這些操作。這些類型的方法容易受到數據庫網絡釣魚事件的影響。此外,加密只保護和鎖定那些沒有憑據的數據。這在許多層面上都是有問題的。
令人悲哀的是,企業需要在內部和外部保護其數據。這就要求數據訪問者具有不同的訪問權限,并符合隱私規則。表格、行和列的粗粒度加密處于打開或關閉狀態。
這確實適用于企業想要防止網絡攻擊的場景。粗粒度加密只會保護企業免受外部的影響,并且只有在尚未獲得員工憑據的情況下才可以。
事實上,即使已經通過加密進行了數據保護,也需要授權(誰可以訪問什么)。加密主要有助于防止存儲設備/磁盤和數據包嗅探器被盜。
與此同時,企業需要能夠使用數據來創建業務創新和發展所需的見解。例如,在大數據中,其目標不應妨礙數據集成或保護客戶隱私權的法規要求。這意味著數據應可用于執行分析和關鍵業務流程。但是與此同時,非公開的個人身份信息應該受到保護,使其免受沒有授權使用的內部或外部各方的侵害。
與其相反,細粒度的控制包括授權、屏蔽、角色加密。這使企業可以防御內部和外部威脅。這使企業可以控制人們可以通過角色、人員或數據看到的內容。這樣可以實現更加智能化、以動態數據為中心、以人為中心的數據保護。
此外,有效的數據管理應利用化名來代替數據主體的身份,以便需要其他信息來重新識別數據主體。這些附加信息應與人員、角色、數據本身有關。
為了符合ISO27001的標準,需要采用一種技術途徑,不僅可以智能地保護數據的訪問,而且還保護移動中的數據。進行這項工作需要與數據一起移動的數據規則。這種集中治理和化名,可以在數據到達的任何地方進行保護。
通過醫療保健行業中的實例可以理解這種方法的強大功能。患者可能希望醫生了解其全部病歷資料,但并不希望他可以查看患者的財務記錄。
結語
總之,在首席信息安全官和首席數據官之間進行協調需要這3個步驟。這是兩個職能部門都獲得業務信譽的良好機會。但問題仍然存在:他們是否準備好攜手合作,為企業和客戶創造一個更好、更安全的世界?
