从自动驾驶汽车到数十亿物联网设备,从全自动化工厂到数百万个笔记本电脑和移动应用,随着当下的新兴技术层出不穷,未来将是万物自动互联的世界。各种数字接触点产生了海量的数据,并在云端、物联网和各种移动设备之间传输,但数据安全否得到保护却不得而知。
当下,数据无疑对任何企业和个人来说都是最重要的资产 —— 它不仅关系到个人在数字世界中的存在,还包括为企业带来的前所未有的巨大商机。数据隐私一直是数百万企业和数亿消费者的隐忧,这是由于他们对数字环境中的个人信息收集、使用、整理、处理或共享状态仅有有限的了解。
在2016年,欧盟出台了《通用数据保护条例(GDPR)》,重点针对数据安全和隐私保护问题。该条例的基本理念强调,数据隐私是公民的基本权利,企业有责任部署数据隐私策略,积极确保数据安全,并将数据隐私安全嵌入设计之初。同时,在2016年,中国政府制定了《网络安全法》,旨在统一规范企业对个人信息的收集和使用标准。根据该法律规定,在中国的企业不仅需要重视“数据安全”,同样需要保护“个人隐私”。
‘以信息为中心’的安全策略的重要性
过去,企业能够依赖网络边界来保护机密信息的完整性,但今非昔比,这种传统措施已经无法满足当今的保护需求。如今,传统防线之外的数据不断飙升,网络犯罪分子虎视眈眈,伺机而动,企业必须实施端到端的信息安全防护。如果不能妥善保护信息安全,那么企业将面临的不仅是前所未有的资产损失,还会导品牌和声誉因数据泄露而严重受损。
赛门铁克认为,不以设备、网络或用户为中心,但‘以数据为中心’的信息保护策略能够应对企业面临的诸多数据保护挑战 —— 我们称之为 Information Centric Security,‘以信息为中心’的安全防护。本质上,‘以信息为中心’安全策略是指运用一系列信息保护技术对任何位置和任何访问者的个人敏感数据提供全面的保护。
这也标志着一种全新信息安全保护措施的诞生。现在,许多数据保护系统都专注于数据存储库(如网络存储)、数据传输机制(如电子邮件)或数据应用(如财务系统),而非数据本身。而以‘信息为中心’的安全策略能够结合不同技术,利用自动化或基于用户的分类和识别技术,覆盖电脑、服务器、电子邮件系统、设备及云,发现闲置、使用或传输中的敏感和个人数据,并在集中的用户监控下,基于策略,通过自动加密和数字权限管理来保护数据。
以下是部署‘以信息为中心’的安全策略的五个步骤:
- 根据业务风险对信息资产进行优先级划分
首要的第一步,企业需要投入足够的时间和精力来判断哪些数据对他们而言更具有价值,评估数据泄漏所可能造成的潜在业务风险。任何有关企业安全的对话都应当从这一步开始。这一步的最终目的在于明确需要保护的数据及其业务价值。
因此,企业需要首先识别最为重要的信息资产,并进行优先级划分,而这将在企业通过采取多层控制和保护措施的整体数据保护策略实施之下,且覆盖整个数据生命周期。同时,安全团队需要与日常接触信息最多的业务领导者紧密协作,从而充分了解业务需求及其对日常运营、员工行为和企业文化的影响。
- 为最重要的资产制定数据保护策略
企业机密信息可以被存储在企业的任何一个角落。要想做到全程跟踪,制定一对一保护政策极其困难。赛门铁克建议,企业需要对主要信息类型进行排名,如企业财务、工程计划、客户个人身份信息等,然后根据优先级重新排序,并监控电子邮件、网页、云应用和端点等高流量渠道。
下一步,企业应该确定策略的部署时间,根据实际情况留出充足的时间,这将帮助安全团队优化新策略并尽量减少误报,同时让各业务部门为适应流程变更做准备。
- 技术与策略双管齐下 改变员工行为
事实上,企业最大的安全漏洞是自己的员工。长期以来,许多员工对安全实践并不上心,例如重复使用弱密码、点击恶意链接和随意共享文件等不良习惯屡绝不止。相比强制实施的法律、法规和政策,技术与流程的恰当结合则更加有效,能够引导正确的员工行为,降低业务风险,例如在使用特定窗口之后部署密码管理策略,实施强制的密码要求。
赛门铁克建议,企业不要局限于基本的网络和应用安全,比如防火墙和入侵检测系统等,应利用‘以数据为中心’的安全策略为信息资产实施特定的保护,比如多因素身份验证、数据防泄漏防护、云访问安全、加密和数字权限管理。
- 将数据保护实践集成到业务流程中
如果与业务流程无交集,那么数据安全技术的有效性将会被大打折扣。若要数据保护策略顺利实施,企业必须考虑哪些业务流程是管理信息资产用途的关键点,例如产品开发、风险、合规和法律。企业需要将数据保护流程与业务流程和现行法规相融合,才能够获得最佳的安全防护。
- 创建企业数据安全文化
成功的数据保护策略不仅需要技术和流程,确保信息资产安全,还离不开企业内部的共同努力和责任共享。制定或加强企业内部的宣传战略十分重要,这将提高员工对敏感数据的理解,提升对数据保护的责任感,以及对数据泄露后果影响的进一步了解。
可以说,树立正确的数据保护意识,从未像现在一样如此重要。考虑到愈加严格的监管环境和严厉的惩罚,以及发生数据泄露事件后带来的品牌受损,构建全面的信息保护策略应该成为所有企业在2018年的首要任务。
来自:赛门铁克
更多阅读:
