如果數據是企業的生命之源,那么企業如何保護它。Michelle Finneran Dennedy在其著作《隱私工程師的宣言》中描述了信息時代保護數據的五個階段:
1.防火墻
2.網絡
3.外聯網
4.訪問
5.智能
問題是,在保護數據的過程中,CIO扮演什么角色?
CIO應該專注于創造更安全的堡壘嗎?或者保護數據以及設置誰可以訪問它?
在CIO中顯然有兩種截然不同的觀點。有些人認為,雖然堡壘是過去的心態,但它仍然非常重要。他們認為堡壘代表了第一道防線,但對訪問權和使用的限制需要成為整體方案的一部分。
這些首席信息官斷言,如果只是為了防止垃圾流量和DDoS攻擊,你不應該完全放棄你的界限。他們認為邊界是非常重要的。這些CIO認為數據安全和訪問權是IT組織需要下一步做得更好的事情。他們繼續說,雖然要塞必須堅不可摧,但是人為因素是保護企業安全最薄弱的環節。如果有人獲得了員工的憑證,特別是如果他們有了員工的電話并破解了安全性較弱的密碼,他們就可以控制多重因素授權。這樣安全堡壘就被攻破了。
然而,其他CIO認為堡壘式思維與“法國馬其諾防線”類似。這些首席信息官表示堡壘式安全注定要失敗。他們認為傳統的安全模式就像蛋殼。從末端擠壓時它們很堅固,但它們會因擠壓或拉伸而破碎。由于這個原因,他們認為歷史上的堡壘已被證明是失敗的。
這些首席信息官表示我們不應該停留在關注堡壘的階段。雖然他們建議要創造良好的周邊安全環境,但他們同時表示,重點需要轉向基于模式和行為的安全。他們建議IT領導者丟棄目前的靜態安全方法,逐步向更加積極和持續評估的階段發展。這些CIO認為數據安全與分類及使用特征有關。他們贊成有數據支持的應用程序的“設計安全”。
這些CIO將身份和訪問管理視為邊界守護者。他們表示,出于這個原因,通過了解訪問層和外部入口點來保護數據非常重要。與此同時,他們認為現在是時候超越抓住數據牢牢不放的階段了。他們說,我們需要在保護數據的同時,使其通過適當的API提供給適當的人。他們指出如果你對數據抓得越緊,數據將會溜走得越多。
做好與數據相關的治理和網絡安全顯然很難。但這就是它如此有趣和具有挑戰性的原因。這些首席信息官認為我們都承認沒有辦法把所有人隔在外面。因此,在不安全的環境中做好數據保護,其關鍵是控制好具有訪問憑據的人員的訪問權限。
鑒于此,適當地管理風險非常重要。一般而言,首席信息官表示,他們對不同的層級加密方法以及每層的安全警察/監控人員感到滿意。此外,他們同意不同的用戶 - 合作伙伴,用戶或消費者 - 應具有不同的信任級別和數據參與規則。順便說一下,一位CIO說他們聽說過另一位CIO開始拆除防火墻來替代更復雜的解決方案。他們認為這樣做是違反常規的,但很有趣。
CIO可以通過監管終端來更好地保護數據嗎?
首席信息官表示,采取零信任立場并擁有一切都可能受到損害的想法是很重要的。他們認為像BYOD一樣,通過不恰當的方式提取數據的能力意味著目前的方法只能延伸到目前為止。在進行每個設計或策略決策時,你必須圍繞可訪問性和靈活性約束與安全性要求進行設計。
CIO們認為你不能忽視終端安全。他們說需要堅持不懈地努力,但應該建立在你能負擔得起的戰略基礎之上。他們說首先要保護源頭的數據,然后再回到傳輸和設備級別。IT組織需要堅守終端安全基礎(覆蓋管理密碼,將它們放在不同的VLAN上等),但除此之外的“監管”可能會變得更加昂貴,尤其是對于較小的組織來說。
首席信息官表示,終端安全(以及傳輸中的加密)是必須要做到的。審核SaaS和COTS以查看數據在終端上可以擁有的緩存/保存/保護應該是該過程的一部分。一位CIO認為傳統的監管收效甚微,主動監管是一種更好的解決方案。一位首席信息官表示,從最低權限開始,但始終要確認流量的多少。
其他CIO表示,除非100%的客戶群,技術供應商和應用程序都在同一防火墻后面,否則監管終端本身不會阻止違規行為。你需要數字權限管理,加密和訪問控制。但是,要清楚是否可以在屏幕上查看數據,是否可以使用智能手機捕獲數據。
首席信息官表示,如今大多數危害都來自網絡釣魚和社交工程,而非技術漏洞。因此,需要新的方法。首席信息官表示,終端策略不會阻止社交工程攻擊。因此,,通過加密進行保護的能力,聚合和改進風險的工具變得越來越重要。一位教育行業的CIO表示,可能對用戶設備進行更多控制,但在高等教育中,大多數終端設備都是BYOD。因此,他們表示要在訪問層進行保護。總之,CIO們說要監管終端,但保護數據是與此分開的。
CIO應該如何實現數據治理以真正保護數據?
CIO們表示,數據治理是其中的核心,這可能是獲得持久可行解決方案的最困難的領域之一。然而,通過治理,可以設置設計和架構工作的要求。
CIO們認為,IT領導者必須了解他們的組織。他們需要擁有定期評估組織的需求和處理變化的能力。這涉及計劃,執行和評估。首席信息官應該為領導加強和改善治理和管理而高興。他們還需要明白數據治理不是一朝一夕的事情,而是一個漫長的旅程。CIO們認為企業必須擁有數據治理和管理權。否則,CIO將遭遇失敗。
開始對話的最佳方式是要求企業定義哪些是關鍵,哪些不是關鍵,以及他們希望IT保護所能達到的程度。IT組織不應該自己做出決定。同樣,CIO們表示,IT領導者應該讓企業扮演好數據管理角色并構建流程以獲得良好的數據質量。CIO可以通過提供數據智能分析來彰顯其價值。
在適當的情況下,優先適當地清理進程通常是一個很好的做法。首席信息官們表示,除了清理批準的業務流程外,還要刪除社交安全號碼,這些應該每年進行審核。他們建議IT領導者尋找優化舊流程的機會。同時,揭示數據問題,選擇數據所有者,然后實施數據治理至關重要。
一位在高等教育領域的CIO表示,治理的力量取決于行業文化。他們羨慕那些可以告訴用戶他們能做什么和不能做什么,以及他們能夠和不能使用什么設備的企業,但是他們說,這不是高等教育中的工作方式。另一位首席信息官同時表示,數據治理所有權是他們在其職業生涯中遇到的最大問題。他們說,不幸的是,如果你主持討論,你最終可能會領導這項計劃。CIO需要制定計劃,讓業務部門發揮領導作用,因為數據治理至關重要。
一般來說,CIO們表示數據治理討論可能涉及很多技術術語。如果希望獲得業務領導者的理解和支持,則需要避免這種情況。首席信息官表示,需要合適的人員來確定存在什么以及需要什么。法律團隊,記錄管理,DBA,產品所有者和HR需要參與其中。首席信息官認為,確立一個了解數據和內容的信息治理專業人員非常重要,這可以引導組織完成識別和保護數據資產的過程。
首席信息官表示,數據檢查非常重要,特別是在如果領導層要求他們的數據庫處于有序狀態時,因為有人可能會把東西藏起來。鑒于此,CIO需要促進有關數據定義,類型和風險概況的業務對話。首席信息官需要對這些問題有基本了解的商業領袖。
關于這一點,一位CIO說了一些令人驚訝的事情。他表示,在許多行業中,很少有數據是專有的。鑒于此,他表示將業務重點放在需要保障的事項上非常重要。IT領導者應該記住,數據保護不僅是二進制文件。需要時刻在數據治理中考慮另一行,字段,層次結構或使用上下文等這些因素。
CIO們表示可用性和便利性往往決定著行為模式。如果數據安全太難,他們說會出現其他方法。確保數據所有者從一開始就是解決方案的一部分非常重要。對于一些CIO來說,遷移到云代表了一個讓事情變得更好的機會。他們認為這是一個機會,可以更全面地使用越來越多的安全和加密功能。他們認為這也是一個通過設計創建更好的端到端安全的機會。
同時,透明的過程也很重要。許多組織發現數據保護問題而不報告它們。一位首席信息官憤怒地表示,在最近他們所做的每一次安全審查中,他們發現一些漏洞在業務領導不知情的情況下被IT部門默默地解決了。
如何保護隱私,CIO如何確保對數據進行保護和設計?
CIO們表示,作為數據治理的一部分,你經常需要圍繞使用數據的系統和應用程序進行設計。你需要策略,良好的意識和培訓才能有機會。一位CIO在這里說,只要我們在美國擁有體面的隱私法。
CIO們堅持認為隱私應該被設計到應用程序體驗中。雖然它是語義上的,但GDPR獨立于數據本身,并且與其使用,存儲和可用性更相關。因此,隱私在方法,流程和技術中,而不在數據本身中。CIO們認為應用程序具有安全模式非常重要。一位CIO表示他們很欣賞GDPR的意圖和概念,但實施它們一直是一項挑戰。它要求任何新功能的解決方案設計易于管理。
CIO們認為,重要的是從一種理念開始,如果不需要,就不要收集,并始終為用戶提供查看和刪除自己數據的方法。顯然,如果你沒有大量的數據,隱私是一種更易于管理的事情。與此同時,CIO們表示,在應用程序設計中做好基于角色的設計是很重要的。你需要越來越多地將內部可信任角色轉移到合作伙伴,然后轉移到消費者或外部。困難的部分是確保你的合作伙伴的隱私與你自己的政策相結合。這可能涉及與合作伙伴進行合同管理和審計。
同時,你不應該疏忽大意而允許DBA持有所有密鑰。黑客已經變得聰明,并開始針對這些人進行社會攻擊。我們需要在默認情況下使用安全框架來改變數據保護和隱私的思維模式。總之,如果你不需要,請不要收集/保存它。并分享公開和持久收集關于“為什么”的知識。
哪10件事應該立即成為CIO的數據保護投資清單?
首席信息官的數據保護清單上有很多條,以下是其中最重要的10條:
1. 員工教育和培訓
2. 對數據進行盤點和審核,了解如何訪問數據以及評估風險
3. 高管支持和所有權
4. 卓有成效的內部溝通
5. 評估哪些方面運作良好,包括治理,政策和團隊成員技能
6. 治理主管,負責整合和應用正在進行的變更和風險
7. 關注外部隱私
8. 用于匯總風險以縮小響應和支出重點的出色工具
9. 保護數據的出色工具(數據加密,網絡模式分析,設備保護,威脅檢測,網絡邊緣的惡意軟件清除,終端保護,多因素登錄等)
10. 為你的員工提供安全的編碼培訓以及零信任態度
首席信息官明確表示需要通過優秀的人員,流程和技術來保護數據。他們意識到他們不能單靠自己做到這一點。這需要一個包括商業領袖和所有員工在內的良好的環境和文化。做到這些以及良好的政策和治理,IT組織可以幫助他們的企業在越來越不安全的環境中更好地保護數據。
京公網安備 11010502049343號