由于不断扩大的网络攻击面、频繁的供应链攻击和不断发展的人工智能威胁,数据安全比以往任何时候都更加重要。根据IBM安全公司的《2023年数据泄露成本报告》,2023年全球数据泄露的平均成本达到了445万美元。
在本文中,您将了解适用于大多数行业的主要数据安全策略和10种保护数据的方法。这些数据保护方法也将帮助您遵守数据安全法律法规。
下面,我们概述数据安全领域,重点介绍了强大的数据安全系统的主要优势,确定需要保护的数据类型,并概述组织面临的关键威胁。让我们开始吧。
什么是数据安全?
数据安全是旨在保护组织敏感资产的流程和工具的组合。有价值的数据在静态和传输过程中都必须得到保护。安全人员还应考虑数据安全的其他方面,如数据创建和使用。
有效的数据保护措施包括实施实时监控并对任何可疑事件做出快速反应,以使您的数据能够抵御欺诈活动。
为什么数据安全如此重要,以至于当局和监管机构不断制定新的数据安全指导方针和要求?
数据安全性的主要好处
让我们看一看组织中高级数据安全的主要好处:
1. 保护信息——知道你的信息不会受到内部和外部威胁而感到安心。因此,您将有更多时间专注于业务策略,而不必担心数据泄露。
2. 加强你的声誉——寻求长期合作的组织和企业总是密切关注潜在合作伙伴的声誉。应用可靠的安全措施来保护数据也会激发客户的信任。
3. 遵从数据安全要求—实施数据保护和安全最佳实践可以帮助您遵从数据安全要求。这将帮助您的组织避免因不合规而被罚款。
4. 减少诉讼费用——预防事故的发生总是比处理事故的后果更具成本效益。在数据安全上花费的时间和精力越多,用于控制和从潜在事件中恢复的资金就越少。
5. 增强业务连续性——稳健的数据安全和最佳隐私实践有助于实现不间断的运营,降低业务中断的风险,从而减少收入损失。
必须根据您所在行业和司法管辖区的相关法律法规对组织的敏感数据进行保护。
以下是一些最常见的敏感数据泄露类型,以及管理这些数据保护的法律、标准和法规:
1. 金融数据:支付卡行业数据安全标准(PCI DSS)、SWIFT客户安全计划(CSP)、萨班斯-奥克斯利法案(SOX)、格莱姆-利奇-比利利法案(GLBA)、系统和组织控制(SOC)
2. 个人数据:通用数据保护条例(GDPR)、加州消费者隐私法案(CCPA)、2020年加州隐私权法案(CPRA)
3. 受保护的健康信息(PHI):健康保险流通与责任法案(HIPAA)
其他需要考虑的IT标准有NIST 800-53、NIST 800-171和ISO 27000系列。
企业数据面临的主要威胁
没有任何系统能够100%免受错误配置、内部威胁和网络攻击的影响。组织的敏感数据可能会丢失、损坏或被不法分子获取。
以下是组织的数据或系统可能面临的主要威胁:
在本文中,我们重点关注内部人为威胁,因为即使是外部网络攻击也往往是由员工的行为引起的——根据 Verizon 的 2023 年数据泄露调查报告,74% 的数据泄露包括人为因素。
为了了解数据是如何被泄露的,让我们回顾一下内部人员导致的数据泄露的几个例子:
1. 人为错误和疏忽——合法用户可能会因疏忽、注意力不集中、疲劳和网络安全中其他人为因素而犯错误。 2023 年 1 月,攻击者通过社会工程攻击诱骗了一名 Mailchimp 员工泄露他们的登录凭据。结果,至少有 133 个 Mailchimp 用户帐户遭到入侵。其中包含 WooCommerce、Statista、Yuga Labs、Solana Foundation 和 FanDuel 等知名公司的帐户。
2. 恶意内部人员——内部用户可能会为了自己的利益而故意窃取、损坏或破坏组织的数据。 2023 年 8 月,两名特斯拉前员工因向一家德国报纸泄露特斯拉现任和前任员工的个人数据而受到指责。他们的行为导致 75,735 人的个人数据暴露,可能使特斯拉面临 33 亿美元的 GDPR 罚款。
3. 权限滥用——具有提升权限的用户可能会参与各种类型的敏感数据滥用或不当数据处理。 2022 年 5 月,雅虎的一名研究科学家据称在收到竞争对手 The Trade Desk 的工作机会后窃取了其 AdLearn 产品的知识产权。雅虎声称,这一事件损害了他们的商业机密,同时给了竞争对手一个很大的优势。
4. 第三方威胁——数据安全威胁可能来自有权访问组织敏感数据的合作伙伴、供应商和分包商。第三方也可以成为外部攻击者的中介,就像在一些供应链攻击中一样。
2023 年 6 月,在英国和爱尔兰运营的薪资解决方案提供商 Zellis 因其供应商 MOVEit 的零日漏洞被利用而面临数据泄露。一些 Zellis 客户受到了该漏洞的影响,包括 BBC、Boots、英国航空公司和 Aer Lingus。数千名员工的个人数据可能会受到损害。
但是,如果您及时发现并响应数据安全威胁,则可以有效地减轻其后果。
如何保护组织中的数据?
为了回答这个问题,让我们来看看保护数据的主要方法。根据 Gartner 的说法,保护数据的关键四种方法是:
1. 加密——防止未经授权的各方读取您的数据。
2. 屏蔽——通过用随机字符替换敏感信息来抑制或匿名化高价值数据。您还可以用低价值的代表性代币替换数据。
3. 数据擦除——涉及清理不再使用或处于活动状态的数据存储库。
4. 数据弹性——涉及关键数据的完整备份、差异备份和增量备份。将有价值的数据存储在不同的位置有助于使其可恢复并抵御不同的网络安全威胁。
现在,是时候研究强大的数据安全背后的基本原则了。
核心数据安全原则和控制措施
机密性、完整性和可用性构成了中央情报局三位一体,这对于确保强大的数据保护至关重要:
机密性:数据受到保护,不会受到未经授权的访问。
完整性:数据可靠且正确,敏感信息受到保护,防止非法更改。
可用性:所有合法用户都可以轻松访问数据。
为了遵守这三个原则,组织需要称为数据安全控制的实用机制。这些是用于预防、检测和响应威胁您宝贵资产的安全风险的对策。
我们在下面介绍的 10 个数据安全和隐私最佳实践涵盖了这些控制措施以及数据安全标准、法律和法规的主要合规性要求。
适用于您组织的 10 大数据安全最佳实践
虽然不同的企业、地区和行业可能需要不同的数据保护实践,但我们选择了适合大多数组织的最佳实践。如果您想知道如何确保组织中的数据保护,请遵循以下 10 大数据保护最佳实践。
1. 定义敏感数据
在实施安全措施之前,首先,评估数据的敏感性。有三个数据敏感度级别:
低敏感度数据——公众可以安全地查看或使用,例如网站上发布的一般信息。
中等敏感度数据——可以在组织内部共享,但不能与公众共享。如果发生数据泄露,不会造成灾难性后果。
高敏感度数据——只能与有限的内部人员共享。如果遭到破坏或破坏,可能会对组织产生灾难性影响。
确保数据可见性也很重要,这样您才能更好地了解哪些信息最需要保护。请继续阅读,了解最佳做法,使你能够查看与敏感数据相关的所有操作。
2. 制定网络安全政策
第二项任务是组织所有网络安全机制、活动和控制措施,以形成工作策略。通过实施数据安全策略,使组织的人力和技术资源有效地支持您的数据安全工作:(1)创建数据使用策略(2)实施基于风险的数据方法(3)进行数据库审计(4)实施补丁管理(5)限制员工解雇程序(6)任命一名数据保护官
为数据使用策略创建管理组织敏感数据的规则。在处理数据时,它应包含针对员工、利益相关者和第三方的指南。
实施基于风险的数据方法。评估与组织中使用数据相关的所有风险以及数据薄弱环节。
定期的数据库审计可帮助您了解当前情况,并为进一步的数据防御设定明确的目标。它们允许您跟踪所有用户操作并随时查看详细的数据。
应用适当的补丁管理策略。这是修补公司环境中或代码中漏洞的步骤和规则列表。定期进行补丁并相应地记录所有操作。 彻底解雇员工,从监控和记录员工使用关键资产的活动和运营到完全取消访问权限。
此外,请考虑任命一名数据保护官 (DPO),他将: (1)控制对数据安全要求的合规性(2)就数据保护措施提供建议 处理员工、提供商和客户之间与安全相关的投诉(3)处理安全故障
您还可以参考 IT 安全策略的常见示例,以找到最适合您组织的策略。
3. 制定事件响应计划
事件响应计划规定了处理网络安全事件并及时减轻其后果的行动。您可以参考 HIPAA、NIST 800-53、PCI DSS 以及其他设置事件响应要求的标准、法律和法规。
以下是具体措施:(1)定义安全事件、其变体及其对组织后果的严重性。(2)选择负责处理事件的人员。(3)进行安全审核,根据以前的事件改进计划,并列出组织可能面临的事件的扩展列表。(4)制定沟通计划和在发生事件时应通知的当局列表。
此外,请制定数据恢复计划,以确保您可以在潜在事件发生后快速恢复数据和系统。
4. 确保数据存储安全
在实施其他数据保护措施之前,请确保在各个级别安全地存储数据:
安全数据存储的 3 项任务:(1)安全的物理存储 (2)实施数据保存方法(3)管理所有设备
仔细存储包含数据的物理介质。使用防水和防火存储介质很重要。此外,使用带锁的钢门和保安人员保护您的数据。
此外,请特别注意如何在现代技术的帮助下保护数据。我们已经讨论过备份、加密、屏蔽和确认擦除是安全存储文件的四种主要数据安全方法。
请考虑部署 USB 设备管理工具来保护设备上存储的所有数据。保护移动设备上的信息和通过可移动存储设备共享的数据。不要忘记在包含敏感数据的设备上启用可见性和可疑活动通知的解决方案。
5. 限制对关键数据的访问
以彻底保护数据访问为起点:
物理访问控制通过锁定和回收数据库、视频监控、各种类型的警报系统和网络隔离来保护对数据服务器的访问。他们还应确保移动设备、笔记本电脑、服务器、个人电脑和其他资产的安全连接。
控制所有数据访问点,并通过生物识别和多因素身份验证实现高效的身份管理。密码管理可帮助您自动创建和轮换密码,并提高入口点的安全性。
还可以通过采用最小特权或实时特权访问管理 (JIT PAM) 原则来降低内部风险,该原则为在特定任务和有限时间内真正需要它的用户提供特权访问权限。
不要忘记从任何设备和端点保护对最关键数据的访问。远程工作和混合工作模式的持续趋势导致对安全访问管理解决方案的需求不断增长。
6. 持续监控用户活动
考虑使用用户活动监视 (UAM) 解决方案增强组织的可见性。对所有有权访问敏感信息的员工进行全面的实时监控。
能够随时查看与您的敏感数据相关的全部用户会话,并接收有关异常用户活动的警报,可以帮助您保护与关键资产的交互。这样,您将有更大的机会避免代价高昂的数据泄露。
7. 管理第三方相关风险
监控 IT 基础架构中第三方用户的操作至关重要。第三方可能包括合作伙伴、分包商、供应商和任何其他有权访问您的关键系统的外部用户。即使您信任第三方,他们的系统也有可能容易受到黑客攻击和供应链攻击。
除了监视本地和云中第三方供应商的会话外: (1)确保您清楚地了解您的第三方环境是什么样子的,并定义控制和处理您的数据的工作人员。(2)与第三方服务供应商签署服务级别协议。(3)要求定期问责,以确保数据安全标准得到维护。(4)与您的供应商合作,提高您数据的安全性。
8. 特别注意特权用户
请记住,特权用户具有访问和更改组织敏感数据的提升权限。特权帐户和会话管理 (PASM) 功能用于完全控制对特权帐户的访问以及监视、记录和审核会话。
特权帐户可能因数据处理不当、权限滥用或数据滥用事件而构成最大的内部威胁。但是,简单的解决方案和严格的控制可以减轻大多数风险。
9. 对所有员工进行数据安全风险教育
教育您的员工如何安全地处理您的公司资产以及如何识别恶意软件和社会工程企图非常重要。
不要忘记提供新的培训,以提供有关最新数据威胁形势的最新信息。此外,考虑为新员工创建入门培训。定期对员工和受训人员进行教育至关重要。
企业数据安全培训的5项任务:(1)讲述疏忽和恶意软件(2)教授如何让处理公司数据(3)提供防止网络钓鱼攻击的提示(4)显示每个终结点的安全措施(5)向受训人员和员工征求反馈意见
根据以人为本的数据安全方法,员工在威胁缓解过程中发挥着重要作用。
10. 部署专用数据安全软件
考虑部署专门的数据保护解决方案来控制敏感数据的安全性。实施安全软件时,请优先选择具有以下功能的解决方案: (1)用户活动监控(2)自动访问管理(3)有关安全事件的通知(4)审计和报告(5)密码管理
此外,您可能需要确保从一个地方看到各种类型的设备和端点。部署太多不同的工具和解决方案并不总是有效的,因为它会减慢您的 IT 和安全管理流程,增加您的费用并使维护复杂化。
结论
数据安全旨在保护数据的创建、存储、管理和传输过程。内部人员可能会故意违反安全规则、随意处理数据或泄露其帐户,从而对组织的数据构成风险。 请考虑实施本文中所述的最佳实践,以实现最佳数据安全性。