黑客們正在利用這一點。例如,國際刑警組織(Interpol)和美國商會(U.S.ChamberofCommerce)都報告稱,自疫情開始以來,網絡攻擊的發生率大幅增加。
因此,無論組織做什么,如果它處理個人身份數據(PII),提高數據安全性是2022年及以后的絕對必須。以下是關于組織數據安全的信息,包括最常見的威脅、法律遵從性要求和最佳實踐。
一為什么數據安全很重要
數據安全至關重要,因為數據泄露可能會對組織產生嚴重影響。首先,這通常意味著財務上的損失,根據IBM和波耐蒙研究所的數據,2020年平均數據泄露的損失為386萬美元:
與數據泄露相關的最大一部分直接成本來自業務損失。然而,71%的首席營銷官認為,違約的最大影響是它將影響品牌資產和品牌價值。
根據品牌評估機構Interbrand的說法,一個品牌的價值很大一部分來自“這個品牌在購買決策中所扮演的角色”。換句話說,強大的品牌資產實際上可以提高客戶為你的產品或服務付費的意愿。
但這也意味著糟糕的品牌資產可能會產生相反的效果。研究表明,65%到80%的消費者會對泄露他們數據的公司失去信任,這對品牌資產是一個重大打擊,數據泄露的潛在影響可能會影響未來幾年的品牌。
信任缺失對品牌形象的實際影響很大程度上取決于違約的細節,以及它如何影響客戶等等。但無論如何,失去信任會對你的業務產生持續多年的影響。
二數據安全、數據保護、數據隱私
數據安全常常與類似的術語如“數據保護”和“數據隱私”相混淆,因為它們都是指保護數據的方法。然而,這些術語之間的區別在于首先保護數據的原因,以及這樣做的方法:數據安全指的是保護數據免受未經授權的訪問或使用,這些訪問或使用可能導致數據暴露、刪除或損壞。
數據安全的一個例子是,如果你的數據被攻破,可以使用加密來防止黑客使用。數據保護是指對數據進行備份或復制,以防止意外刪除或丟失。
數據保護的一個例子是創建數據備份,這樣即使數據損壞或者自然災害破壞了服務器,也不會永遠丟失數據。數據隱私指的是關于如何處理數據的監管問題、通知問題和使用許可問題等。數據隱私的一個例子是,通過使用Cookies獲得網站訪問者的數據收集同意。
三數據安全合規和法規
大多數國家都有公司必須遵守的嚴格的數據安全規定。違反這些規定的后果可能導致巨額罰款。不幸的是,法規遵從性通常很難把握,因為需求會因國家而變化,或者在一些國家,如美國,需求會因地區而變化,并且與正在處理的數據類型有關。因此,你能做的最好的事情之一就是確保你身邊有知識淵博的顧問,他們可以幫助你了解法律要求。
然而,以下是一些可能影響您的組織的最重要和影響最廣泛的數據治理規則。
(1)《中華人民共和國數據安全法》
《數據安全法》2021年9月1日起正式施行,明確數據安全主管機構的監管職責,建立健全數據安全協同治理體系,提高數據安全保障能力,促進數據出境安全和自由流動,促進數據開發利用,保護個人、組織的合法權益,維護國家主權、安全和發展利益,讓數據安全有法可依、有章可循,為數字化經濟的安全健康發展提供了有力支撐。
(2)《中華人民共和國個人信息保護法》
《中華人民共和國個人信息保護法》,自2021年11月1日起施行。作為我國首部針對個人信息保護的專門性立法,《個人信息保護法》構建了完整的個人信息保護框架,對個人信息處理規則、個人信息跨境傳輸、個人信息處理活動的權利、信息處理者的義務、監管部門職責以及罰則等作出了全面的規定。
(3)通用數據保護監管(GDPR)
GDPR是歐盟的數據保護和隱私法。它于2016年通過并于2018年實施,以保護消費者,并統一有關國內和國際企業數據管理的規定。
GDPR要求任何處理個人數據的組織實施“適當的技術和組織措施”來保護該數據(包括獲得個人存儲和使用該數據的同意)。這意味著在收集用戶數據時需要征得用戶的同意,在數據被破壞時將數據匿名化以保護用戶,并遵循在數據被破壞時通知用戶的具體指導原則。
(4)健康保險流通與責任法案(HIPAA)
HIPAA是美國關于電子保護健康信息(ePHI)的數據安全和保護法。該法案于1996年通過,旨在控制和現代化個人健康數據管理,包括欺詐和盜竊保護標準,保險公司如何利用它向個人收取服務費用,等等。
對于任何處理ePHI的公司,HIPAA都需要特定的技術、物理和管理保障。違規者可被處以10年監禁,罰款從10萬美元到25萬美元不等。
(5)薩班斯-奧克斯利法案(SOX)
薩班斯-奧克斯利法案于2002年通過,旨在更好地保護公司投資者免受欺詐性金融活動的傷害。它是為了應對一些著名的公司會計丑聞(例如安然公司)而設立的,旨在增加對不準確或不完整的財務報告(包括篡改財務數據以某種方式呈現)的懲罰。它還包括有關管理企業財務信息獲取的規定。SOX主要適用于上市公司及其披露財務信息的方式。但也有一些因素同樣適用于私營企業——例如,偽造財務記錄或報復舉報金融犯罪的員工。
(6)聯邦信息安全管理法(FISMA)
FISMA于2002年通過,以標準化美國聯邦機構處理數據的方式。它要求任何聯邦機構(以及任何作為分包商/服務提供商的私營企業)遵守嚴格的信息安全政策(FIPS200)和審計程序,以確保它們得到遵守。
四數據安全的最大威脅
當人們想到數據安全的威脅時,首先想到的往往是黑客入侵您的服務器。但現實是,數據安全的最大威脅往往來自內部,是員工不安全行為的結果。
例如,IBM和波耐蒙研究所(ThePonemonInstitute)在2020年研究了數據泄露的根本原因,發現最主要的兩個原因是泄露憑證,通常是由于弱密碼和云配置錯誤,讓公眾可以訪問敏感數據;數據泄露的另一個主要原因(網絡釣魚詐騙)也是正確的員工培訓可以防止的事情。IBM的研究表明,教員工如何發現網絡釣魚郵件和其他社會工程攻擊將有助于減少17%的數據泄露。
所有這些都說明,雖然像防火墻這樣的技術對于保護您的數據免受安全威脅很重要,但您的團隊的警惕可能更重要。
五數據安全技術的類型
有幾種不同的技術可以用來保護數據。盡可能多地使用這些技術,以確保所有潛在的訪問點都是安全的。
(1)身份驗證
身份驗證是驗證用戶的登錄憑證(密碼、生物特征識別等)以確保它確實是他們的過程。它是數據安全策略中最重要的部分之一,因為它是防止未經授權訪問敏感信息的第一線防御。
身份驗證在概念上很簡單,但從技術的角度來看,很難得到正確的規模。然而,像單點登錄(SSO)、多因素身份驗證(MFA)和破解密碼檢測等新技術使得在不犧牲用戶體驗的情況下更容易確保身份驗證過程的安全性。
(2)加密
數據加密用一種算法來打亂敏感信息,因此如果沒有解密所需的特定信息(加密密鑰),就無法讀取這些信息。這是一個非常重要的數據安全工具,因為它可以確保即使有人未經授權訪問你的信息,他們也無法使用它。您應該始終確保您的加密密鑰被安全存儲,并將訪問它們的權限限制在盡可能少的人。
(3)令牌化
令牌化類似于加密。然而,令牌化不是用算法打亂數據,而是用隨機字符替換數據。然后,與原始數據(“令牌”)的關系存儲在一個單獨的受保護的數據庫表中。
(4)數據屏蔽
數據掩蔽不會將數據轉換為中間形式,而是通過使用代理字符“掩蔽”數據字符來實現。一旦它被送到目的地,軟件就會把它倒轉過來。
(5)物理訪問控制
數據訪問控制也是數據安全策略的重要組成部分。數字訪問控制通常是通過身份驗證程序(并限制訪問數據的授權用戶的數量)進行管理的,而物理訪問控制則管理對數據所在物理位置(數據中心或內部服務器室)的訪問。
物理訪問管理控制包括保護措施,如鑰匙卡,生物認證措施,如指紋識別和視網膜掃描,以及安全人員。
六確保數據安全的最佳實踐
全面的數據安全計劃有很多活動組成,所有的工作都是實時的,以確保數據是安全的。您的計劃的具體實現將取決于組織的計算系統的大小和結構。
因此,這里的內容并不意味著要一步一步地分解創建完美的數據安全所需的一切;本文概述了一些重要概念,這些概念共同為數據安全奠定了良好的基礎。
(1)存儲數據的安全
數據安全的一個基本部分是保護存儲的數據。這里有三個最佳實踐,可以提高你的數字和物理存儲位置周圍的安全性:
管理對敏感信息的訪問。根據用戶ID來管理誰可以訪問您的數據,這是一種將敏感信息限制為僅供需要查看的人使用的好方法。這就限制了如果某人的用戶名或登錄信息被盜所造成的損失。
加密所有的數據。加密是保證數據安全的最佳工具之一。它可以幫助確保黑客不能使用他們可能掌握的任何信息。還應該確保對傳輸進行加密,以便為您發送的任何信息增加另一層安全。
從源頭保護用戶數據。當客戶和員工首次登錄(或多次登錄)時,可以使用統一登錄等安全的身份驗證實踐來驗證和保護他們的信息。這不僅簡化了流程,減少了流失的風險,而且還有助于將所有敏感數據組織在一個位置,而不是在容易丟失的多個數據庫和電子表格中。
(2)為安全威脅做好準備
網絡安全威脅是不斷發展和變化的,因為黑客總是在安全系統中尋找漏洞。因此,數據安全不是一個“設置它,然后忘記它”的活動,而是一個日常活動。
以下是為潛在的攻擊以及發生的任何攻擊的后果做好準備的主要方法:
加強系統測試。最好的防御就是好的進攻,而在安全數據恢復中最好的進攻就是確保你的數據從一開始就不會丟失。但是,盡管自動化可以幫助監控系統,但它根本無法與試圖闖入系統的人類的創造力相提并論。所以,最好是建立一個內部團隊來對你的系統進行壓力測試,或者找公司以外的人來做。
培育安全意識。常見的數據安全攻擊,如魚叉式網絡釣魚電子郵件和USB陷阱,目標是那些沒有意識到風險并放松了警惕的員工。每天傳播來自Proofpoint的提示或實施InspiredeLearning的高管培訓可以大大降低這些風險。
制定事故管理計劃。為數據泄露的情況制定全面的響應計劃可以極大地限制數據泄露對組織的影響。IT需要知道要做什么,但也應該為管理創建指導方針,讓員工知道,以及恢復的下一步步驟。
創建安全數據恢復計劃。如果出現了問題,或者你需要的東西被刪除或泄露了,準備好處理這些問題是很重要的。對于許多團隊來說,這意味著有一個定期更新的關鍵數據的備份副本。備份本身必須受到保護,而且應該與其他數據分開。
(3)刪除不在使用的數據
總有一天你的數據會過時或不再使用。當這種情況發生時,清除這些數據是很重要的,因為如果這些數據被攻破,它仍然可能傷害到您的用戶。
以你的用戶的舊密碼為例,由于65%的人在多個網站上重復使用他們的密碼,如果他們沒有更改所有數字賬戶的舊密碼,那么在另一家公司,舊密碼仍然可能被用來泄露他們的數據。
以下是刪除未使用數據的兩個最佳實踐:
知道如何以及何時刪除。當你需要擺脫數字信息的時候,你需要正確地處理它。當你不得不把敏感信息寫在紙上時,你會把它撕碎。你把你的信用卡剪開,在支票上寫上“無效”,然后把它們扔掉。數字數據也不例外。確保當你抹掉這些信息時,它們真的已經消失了,而不是在某個地方徘徊,而不會回來咬你一口。
不要忘記物理副本。如果你的任何備份是紙質的,存儲在u盤里的,是x光片、縮微膠片或底片或者其他任何與你的數字系統完全分開的物理的東西,不要忘記它們。當您刪除不在使用的信息時,請確保流程的一部分是雙重檢查,以查看該信息是否有物理對應,如果有,則以實物方式銷毀它。
(4)進行合規審計
有一些標準可以幫助降低數據泄露的風險。你可能還需要遵守一些法律規定,以幫助你做同樣的事情。
適用于你的企業的規章制度在很大程度上取決于行業和地點,所以你需要做足功課來評估哪些是規章制度。但是,如果您正在處理個人身份信息,那么您最好對自己進行審計,并確保您的業務符合要求。這不僅能讓你避免法律上的麻煩,還能顯著提高數據的安全性。
(5)不要忘記移動數據安全
根據McAfee的《2020年第一季度移動威脅報告》,僅在2018年上半年,移動攻擊就達到了1.5億次,2019年又增加了30%。隨著移動網絡攻擊的增加,移動安全成為數據安全策略中更為關鍵的一部分。
你可以采取以下幾個步驟來提高移動數據的安全性:
定期更新所有應用程序,以防止間諜軟件的威脅。
刪除不活動的應用程序。提供商可能因為安全漏洞而暫停或刪除對它們的訪問。
在下載新應用程序之前,請檢查所請求的權限列表。如果這些內容看起來太有侵略性,員工應該跳過下載,因為它可能包含移動惡意軟件。
為每個新的手機賬戶創建獨特的密碼。永遠不要默認為標準登錄。
使用加密數據傳輸的通信應用程序來限制訪問。
需要多因素身份驗證來訪問內部工具。
確保員工知道如何遠程訪問他們的設備。如果設備丟失或被盜,能夠快速刪除或傳輸信息是至關重要的。
然而,請記住,移動數據安全不僅僅適用于智能手機和平板電腦。現在,它還包括其他移動設備,如智能手表和可穿戴技術、視頻會議工具等。
七數據安全取決于人
企業的員工現在比以往任何時候都是數據安全的前線。因此,鼓勵正確的行為是至關重要的,以確保不會發生違反業務要求。
最好的方法之一就是為團隊創造更好的用戶體驗。簡化的用戶體驗讓他們更容易遵循網絡安全的最佳實踐,比如為每個應用程序使用唯一的密碼,或使用更長、更復雜的密碼。
