数据安全一直都很重要。但由于目前的疫情危机,越来越多的人开始远程工作,云计算的使用量也随之飙升,未经授权访问数据的机会比以往任何时候都要多。
黑客们正在利用这一点。例如,国际刑警组织(Interpol)和美国商会(U.S. Chamber of Commerce)都报告称,自疫情开始以来,网络攻击的发生率大幅增加。
因此,无论组织做什么,如果它处理个人身份数据(PII),提高数据安全性是2022年及以后的绝对必须。以下是关于组织数据安全的信息,包括最常见的威胁、法律遵从性要求和最佳实践。
一 为什么数据安全很重要
数据安全至关重要,因为数据泄露可能会对组织产生严重影响。首先,这通常意味着财务上的损失,根据IBM和波耐蒙研究所的数据,2020年平均数据泄露的损失为386万美元:
与数据泄露相关的最大一部分直接成本来自业务损失。然而,71%的首席营销官认为,违约的最大影响是它将影响品牌资产和品牌价值。
根据品牌评估机构Interbrand的说法,一个品牌的价值很大一部分来自“这个品牌在购买决策中所扮演的角色”。换句话说,强大的品牌资产实际上可以提高客户为你的产品或服务付费的意愿。
但这也意味着糟糕的品牌资产可能会产生相反的效果。研究表明,65%到80%的消费者会对泄露他们数据的公司失去信任,这对品牌资产是一个重大打击,数据泄露的潜在影响可能会影响未来几年的品牌。
信任缺失对品牌形象的实际影响很大程度上取决于违约的细节,以及它如何影响客户等等。但无论如何,失去信任会对你的业务产生持续多年的影响。
二 数据安全、数据保护、数据隐私
数据安全常常与类似的术语如“数据保护”和“数据隐私”相混淆,因为它们都是指保护数据的方法。然而,这些术语之间的区别在于首先保护数据的原因,以及这样做的方法:数据安全指的是保护数据免受未经授权的访问或使用,这些访问或使用可能导致数据暴露、删除或损坏。
数据安全的一个例子是,如果你的数据被攻破,可以使用加密来防止黑客使用。数据保护是指对数据进行备份或复制,以防止意外删除或丢失。
数据保护的一个例子是创建数据备份,这样即使数据损坏或者自然灾害破坏了服务器,也不会永远丢失数据。数据隐私指的是关于如何处理数据的监管问题、通知问题和使用许可问题等。数据隐私的一个例子是,通过使用Cookies获得网站访问者的数据收集同意。
三 数据安全合规和法规
大多数国家都有公司必须遵守的严格的数据安全规定。违反这些规定的后果可能导致巨额罚款。不幸的是,法规遵从性通常很难把握,因为需求会因国家而变化,或者在一些国家,如美国,需求会因地区而变化,并且与正在处理的数据类型有关。因此,你能做的最好的事情之一就是确保你身边有知识渊博的顾问,他们可以帮助你了解法律要求。
然而,以下是一些可能影响您的组织的最重要和影响最广泛的数据治理规则。
(1)《中华人民共和国数据安全法》
《数据安全法》2021年9月1日起正式施行,明确数据安全主管机构的监管职责,建立健全数据安全协同治理体系,提高数据安全保障能力,促进数据出境安全和自由流动,促进数据开发利用,保护个人、组织的合法权益,维护国家主权、安全和发展利益,让数据安全有法可依、有章可循,为数字化经济的安全健康发展提供了有力支撑。
(2)《中华人民共和国个人信息保护法》
《中华人民共和国个人信息保护法》,自2021年11月1日起施行。作为我国首部针对个人信息保护的专门性立法,《个人信息保护法》构建了完整的个人信息保护框架,对个人信息处理规则、个人信息跨境传输、个人信息处理活动的权利、信息处理者的义务、监管部门职责以及罚则等作出了全面的规定。
(3)通用数据保护监管(GDPR)
GDPR是欧盟的数据保护和隐私法。它于2016年通过并于2018年实施,以保护消费者,并统一有关国内和国际企业数据管理的规定。
GDPR要求任何处理个人数据的组织实施“适当的技术和组织措施”来保护该数据(包括获得个人存储和使用该数据的同意)。这意味着在收集用户数据时需要征得用户的同意,在数据被破坏时将数据匿名化以保护用户,并遵循在数据被破坏时通知用户的具体指导原则。
(4)健康保险流通与责任法案(HIPAA)
HIPAA是美国关于电子保护健康信息(ePHI)的数据安全和保护法。该法案于1996年通过,旨在控制和现代化个人健康数据管理,包括欺诈和盗窃保护标准,保险公司如何利用它向个人收取服务费用,等等。
对于任何处理ePHI的公司,HIPAA都需要特定的技术、物理和管理保障。违规者可被处以10年监禁,罚款从10万美元到25万美元不等。
(5)萨班斯-奥克斯利法案(SOX)
萨班斯-奥克斯利法案于2002年通过,旨在更好地保护公司投资者免受欺诈性金融活动的伤害。它是为了应对一些著名的公司会计丑闻(例如安然公司)而设立的,旨在增加对不准确或不完整的财务报告(包括篡改财务数据以某种方式呈现)的惩罚。它还包括有关管理企业财务信息获取的规定。SOX主要适用于上市公司及其披露财务信息的方式。但也有一些因素同样适用于私营企业——例如,伪造财务记录或报复举报金融犯罪的员工。
(6)联邦信息安全管理法(FISMA)
FISMA于2002年通过,以标准化美国联邦机构处理数据的方式。它要求任何联邦机构(以及任何作为分包商/服务提供商的私营企业)遵守严格的信息安全政策(FIPS 200)和审计程序,以确保它们得到遵守。
四 数据安全的最大威胁
当人们想到数据安全的威胁时,首先想到的往往是黑客入侵您的服务器。但现实是,数据安全的最大威胁往往来自内部,是员工不安全行为的结果。
例如,IBM和波耐蒙研究所(The Ponemon Institute)在2020年研究了数据泄露的根本原因,发现最主要的两个原因是泄露凭证,通常是由于弱密码和云配置错误,让公众可以访问敏感数据;数据泄露的另一个主要原因(网络钓鱼诈骗)也是正确的员工培训可以防止的事情。IBM的研究表明,教员工如何发现网络钓鱼邮件和其他社会工程攻击将有助于减少17%的数据泄露。
所有这些都说明,虽然像防火墙这样的技术对于保护您的数据免受安全威胁很重要,但您的团队的警惕可能更重要。
五 数据安全技术的类型
有几种不同的技术可以用来保护数据。尽可能多地使用这些技术,以确保所有潜在的访问点都是安全的。
(1)身份验证
身份验证是验证用户的登录凭证(密码、生物特征识别等)以确保它确实是他们的过程。它是数据安全策略中最重要的部分之一,因为它是防止未经授权访问敏感信息的第一线防御。
身份验证在概念上很简单,但从技术的角度来看,很难得到正确的规模。然而,像单点登录(SSO)、多因素身份验证(MFA)和破解密码检测等新技术使得在不牺牲用户体验的情况下更容易确保身份验证过程的安全性。
(2)加密
数据加密用一种算法来打乱敏感信息,因此如果没有解密所需的特定信息(加密密钥),就无法读取这些信息。这是一个非常重要的数据安全工具,因为它可以确保即使有人未经授权访问你的信息,他们也无法使用它。您应该始终确保您的加密密钥被安全存储,并将访问它们的权限限制在尽可能少的人。
(3)令牌化
令牌化类似于加密。然而,令牌化不是用算法打乱数据,而是用随机字符替换数据。然后,与原始数据(“令牌”)的关系存储在一个单独的受保护的数据库表中。
(4)数据屏蔽
数据掩蔽不会将数据转换为中间形式,而是通过使用代理字符“掩蔽”数据字符来实现。一旦它被送到目的地,软件就会把它倒转过来。
(5)物理访问控制
数据访问控制也是数据安全策略的重要组成部分。数字访问控制通常是通过身份验证程序(并限制访问数据的授权用户的数量)进行管理的,而物理访问控制则管理对数据所在物理位置(数据中心或内部服务器室)的访问。
物理访问管理控制包括保护措施,如钥匙卡,生物认证措施,如指纹识别和视网膜扫描,以及安全人员。
六 确保数据安全的最佳实践
全面的数据安全计划有很多活动组成,所有的工作都是实时的,以确保数据是安全的。您的计划的具体实现将取决于组织的计算系统的大小和结构。
因此,这里的内容并不意味着要一步一步地分解创建完美的数据安全所需的一切;本文概述了一些重要概念,这些概念共同为数据安全奠定了良好的基础。
(1)存储数据的安全
数据安全的一个基本部分是保护存储的数据。这里有三个最佳实践,可以提高你的数字和物理存储位置周围的安全性:
- 管理对敏感信息的访问。根据用户ID来管理谁可以访问您的数据,这是一种将敏感信息限制为仅供需要查看的人使用的好方法。这就限制了如果某人的用户名或登录信息被盗所造成的损失。
- 加密所有的数据。加密是保证数据安全的最佳工具之一。它可以帮助确保黑客不能使用他们可能掌握的任何信息。还应该确保对传输进行加密,以便为您发送的任何信息增加另一层安全。
- 从源头保护用户数据。当客户和员工首次登录(或多次登录)时,可以使用统一登录等安全的身份验证实践来验证和保护他们的信息。这不仅简化了流程,减少了流失的风险,而且还有助于将所有敏感数据组织在一个位置,而不是在容易丢失的多个数据库和电子表格中。
(2)为安全威胁做好准备
网络安全威胁是不断发展和变化的,因为黑客总是在安全系统中寻找漏洞。因此,数据安全不是一个“设置它,然后忘记它”的活动,而是一个日常活动。
以下是为潜在的攻击以及发生的任何攻击的后果做好准备的主要方法:
- 加强系统测试。最好的防御就是好的进攻,而在安全数据恢复中最好的进攻就是确保你的数据从一开始就不会丢失。但是,尽管自动化可以帮助监控系统,但它根本无法与试图闯入系统的人类的创造力相提并论。所以,最好是建立一个内部团队来对你的系统进行压力测试,或者找公司以外的人来做。
- 培育安全意识。常见的数据安全攻击,如鱼叉式网络钓鱼电子邮件和USB陷阱,目标是那些没有意识到风险并放松了警惕的员工。每天传播来自Proofpoint的提示或实施Inspired eLearning的高管培训可以大大降低这些风险。
- 制定事故管理计划。为数据泄露的情况制定全面的响应计划可以极大地限制数据泄露对组织的影响。IT需要知道要做什么,但也应该为管理创建指导方针,让员工知道,以及恢复的下一步步骤。
- 创建安全数据恢复计划。如果出现了问题,或者你需要的东西被删除或泄露了,准备好处理这些问题是很重要的。对于许多团队来说,这意味着有一个定期更新的关键数据的备份副本。备份本身必须受到保护,而且应该与其他数据分开。
(3)删除不在使用的数据
总有一天你的数据会过时或不再使用。当这种情况发生时,清除这些数据是很重要的,因为如果这些数据被攻破,它仍然可能伤害到您的用户。
以你的用户的旧密码为例,由于65%的人在多个网站上重复使用他们的密码,如果他们没有更改所有数字账户的旧密码,那么在另一家公司,旧密码仍然可能被用来泄露他们的数据。
以下是删除未使用数据的两个最佳实践:
- 知道如何以及何时删除。当你需要摆脱数字信息的时候,你需要正确地处理它。当你不得不把敏感信息写在纸上时,你会把它撕碎。你把你的信用卡剪开,在支票上写上“无效”,然后把它们扔掉。数字数据也不例外。确保当你抹掉这些信息时,它们真的已经消失了,而不是在某个地方徘徊,而不会回来咬你一口。
- 不要忘记物理副本。如果你的任何备份是纸质的,存储在u盘里的,是x光片、缩微胶片或底片或者其他任何与你的数字系统完全分开的物理的东西,不要忘记它们。当您删除不在使用的信息时,请确保流程的一部分是双重检查,以查看该信息是否有物理对应,如果有,则以实物方式销毁它。
(4)进行合规审计
有一些标准可以帮助降低数据泄露的风险。你可能还需要遵守一些法律规定,以帮助你做同样的事情。
适用于你的企业的规章制度在很大程度上取决于行业和地点,所以你需要做足功课来评估哪些是规章制度。但是,如果您正在处理个人身份信息,那么您最好对自己进行审计,并确保您的业务符合要求。这不仅能让你避免法律上的麻烦,还能显著提高数据的安全性。
(5)不要忘记移动数据安全
根据McAfee的《2020年第一季度移动威胁报告》,仅在2018年上半年,移动攻击就达到了1.5亿次,2019年又增加了30%。随着移动网络攻击的增加,移动安全成为数据安全策略中更为关键的一部分。
你可以采取以下几个步骤来提高移动数据的安全性:
- 定期更新所有应用程序,以防止间谍软件的威胁。
- 删除不活动的应用程序。提供商可能因为安全漏洞而暂停或删除对它们的访问。
- 在下载新应用程序之前,请检查所请求的权限列表。如果这些内容看起来太有侵略性,员工应该跳过下载,因为它可能包含移动恶意软件。
- 为每个新的手机账户创建独特的密码。永远不要默认为标准登录。
- 使用加密数据传输的通信应用程序来限制访问。
- 需要多因素身份验证来访问内部工具。
- 确保员工知道如何远程访问他们的设备。如果设备丢失或被盗,能够快速删除或传输信息是至关重要的。
然而,请记住,移动数据安全不仅仅适用于智能手机和平板电脑。现在,它还包括其他移动设备,如智能手表和可穿戴技术、视频会议工具等。
七 数据安全取决于人
企业的员工现在比以往任何时候都是数据安全的前线。因此,鼓励正确的行为是至关重要的,以确保不会发生违反业务要求。
最好的方法之一就是为团队创造更好的用户体验。简化的用户体验让他们更容易遵循网络安全的最佳实践,比如为每个应用程序使用唯一的密码,或使用更长、更复杂的密码。
