當下,數據無(wú)疑對任何企業(yè)和個(gè)人來(lái)說(shuō)都是最重要的資產(chǎn) -- 它不僅關(guān)系到個(gè)人在數字世界中的存在,還包括為企業(yè)帶來(lái)的前所未有的巨大商機。數據隱私一直是數百萬(wàn)企業(yè)和數億消費者的隱憂(yōu),這是由于他們對數字環(huán)境中的個(gè)人信息收集、使用、整理、處理或共享狀態(tài)僅有有限的了解。
在2016年,歐盟出臺了《通用數據保護條例(GDPR)》,重點(diǎn)針對數據安全和隱私保護問(wèn)題。該條例的基本理念強調,數據隱私是公民的基本權利,企業(yè)有責任部署數據隱私策略,積極確保數據安全,并將數據隱私安全嵌入設計之初。同時(shí),在2016年,中國政府制定了《網(wǎng)絡(luò )安全法》,旨在統一規范企業(yè)對個(gè)人信息的收集和使用標準。根據該法律規定,在中國的企業(yè)不僅需要重視“數據安全”,同樣需要保護“個(gè)人隱私”。
‘以信息為中心’的安全策略的重要性
過(guò)去,企業(yè)能夠依賴(lài)網(wǎng)絡(luò )邊界來(lái)保護機密信息的完整性,但今非昔比,這種傳統措施已經(jīng)無(wú)法滿(mǎn)足當今的保護需求。如今,傳統防線(xiàn)之外的數據不斷飆升,網(wǎng)絡(luò )犯罪分子虎視眈眈,伺機而動(dòng),企業(yè)必須實(shí)施端到端的信息安全防護。如果不能妥善保護信息安全,那么企業(yè)將面臨的不僅是前所未有的資產(chǎn)損失,還會(huì )導品牌和聲譽(yù)因數據泄露而嚴重受損。
賽門(mén)鐵克認為,不以設備、網(wǎng)絡(luò )或用戶(hù)為中心,但‘以數據為中心’的信息保護策略能夠應對企業(yè)面臨的諸多數據保護挑戰 -- 我們稱(chēng)之為 Information Centric Security,‘以信息為中心’的安全防護。本質(zhì)上,‘以信息為中心’安全策略是指運用一系列信息保護技術(shù)對任何位置和任何訪(fǎng)問(wèn)者的個(gè)人敏感數據提供全面的保護。
這也標志著(zhù)一種全新信息安全保護措施的誕生。現在,許多數據保護系統都專(zhuān)注于數據存儲庫(如網(wǎng)絡(luò )存儲)、數據傳輸機制(如電子郵件)或數據應用(如財務(wù)系統),而非數據本身。而以‘信息為中心’的安全策略能夠結合不同技術(shù),利用自動(dòng)化或基于用戶(hù)的分類(lèi)和識別技術(shù),覆蓋電腦、服務(wù)器、電子郵件系統、設備及云,發(fā)現閑置、使用或傳輸中的敏感和個(gè)人數據,并在集中的用戶(hù)監控下,基于策略,通過(guò)自動(dòng)加密和數字權限管理來(lái)保護數據。
以下是部署‘以信息為中心’的安全策略的五個(gè)步驟:
1.根據業(yè)務(wù)風(fēng)險對信息資產(chǎn)進(jìn)行優(yōu)先級劃分
首要的第一步,企業(yè)需要投入足夠的時(shí)間和精力來(lái)判斷哪些數據對他們而言更具有價(jià)值,評估數據泄漏所可能造成的潛在業(yè)務(wù)風(fēng)險。任何有關(guān)企業(yè)安全的對話(huà)都應當從這一步開(kāi)始。這一步的最終目的在于明確需要保護的數據及其業(yè)務(wù)價(jià)值。
因此,企業(yè)需要首先識別最為重要的信息資產(chǎn),并進(jìn)行優(yōu)先級劃分,而這將在企業(yè)通過(guò)采取多層控制和保護措施的整體數據保護策略實(shí)施之下,且覆蓋整個(gè)數據生命周期。同時(shí),安全團隊需要與日常接觸信息最多的業(yè)務(wù)領(lǐng)導者緊密協(xié)作,從而充分了解業(yè)務(wù)需求及其對日常運營(yíng)、員工行為和企業(yè)文化的影響。
2.為最重要的資產(chǎn)制定數據保護策略
企業(yè)機密信息可以被存儲在企業(yè)的任何一個(gè)角落。要想做到全程跟蹤,制定一對一保護政策極其困難。賽門(mén)鐵克建議,企業(yè)需要對主要信息類(lèi)型進(jìn)行排名,如企業(yè)財務(wù)、工程計劃、客戶(hù)個(gè)人身份信息等,然后根據優(yōu)先級重新排序,并監控電子郵件、網(wǎng)頁(yè)、云應用和端點(diǎn)等高流量渠道。
下一步,企業(yè)應該確定策略的部署時(shí)間,根據實(shí)際情況留出充足的時(shí)間,這將幫助安全團隊優(yōu)化新策略并盡量減少誤報,同時(shí)讓各業(yè)務(wù)部門(mén)為適應流程變更做準備。
3.技術(shù)與策略雙管齊下 改變員工行為
事實(shí)上,企業(yè)最大的安全漏洞是自己的員工。長(cháng)期以來(lái),許多員工對安全實(shí)踐并不上心,例如重復使用弱密碼、點(diǎn)擊惡意鏈接和隨意共享文件等不良習慣屢絕不止。相比強制實(shí)施的法律、法規和政策,技術(shù)與流程的恰當結合則更加有效,能夠引導正確的員工行為,降低業(yè)務(wù)風(fēng)險,例如在使用特定窗口之后部署密碼管理策略,實(shí)施強制的密碼要求。
賽門(mén)鐵克建議,企業(yè)不要局限于基本的網(wǎng)絡(luò )和應用安全,比如防火墻和入侵檢測系統等,應利用‘以數據為中心’的安全策略為信息資產(chǎn)實(shí)施特定的保護,比如多因素身份驗證、數據防泄漏防護、云訪(fǎng)問(wèn)安全、加密和數字權限管理。
4.將數據保護實(shí)踐集成到業(yè)務(wù)流程中
如果與業(yè)務(wù)流程無(wú)交集,那么數據安全技術(shù)的有效性將會(huì )被大打折扣。若要數據保護策略順利實(shí)施,企業(yè)必須考慮哪些業(yè)務(wù)流程是管理信息資產(chǎn)用途的關(guān)鍵點(diǎn),例如產(chǎn)品開(kāi)發(fā)、風(fēng)險、合規和法律。企業(yè)需要將數據保護流程與業(yè)務(wù)流程和現行法規相融合,才能夠獲得最佳的安全防護。
5.創(chuàng )建企業(yè)數據安全文化
成功的數據保護策略不僅需要技術(shù)和流程,確保信息資產(chǎn)安全,還離不開(kāi)企業(yè)內部的共同努力和責任共享。制定或加強企業(yè)內部的宣傳戰略十分重要,這將提高員工對敏感數據的理解,提升對數據保護的責任感,以及對數據泄露后果影響的進(jìn)一步了解。
可以說(shuō),樹(shù)立正確的數據保護意識,從未像現在一樣如此重要。考慮到愈加嚴格的監管環(huán)境和嚴厲的懲罰,以及發(fā)生數據泄露事件后帶來(lái)的品牌受損,構建全面的信息保護策略應該成為所有企業(yè)在2018年的首要任務(wù)。
關(guān)于賽門(mén)鐵克:
賽門(mén)鐵克公司(納斯達克:SYMC)是全球領(lǐng)先的網(wǎng)絡(luò )安全企業(yè),旨在幫助個(gè)人、企業(yè)和政府機構保護無(wú)處不在的重要數據安全。全球企業(yè)都青睞選用賽門(mén)鐵克的戰略性集成式解決方案,在端點(diǎn)、云和基礎架構抵御復雜攻擊。同時(shí),全球 5000 多萬(wàn)的個(gè)人和家庭也在使用賽門(mén)鐵克的 Norton 和 LifeLock 產(chǎn)品,保護家庭各類(lèi)聯(lián)網(wǎng)設備安全,暢享無(wú)憂(yōu)數字生活。賽門(mén)鐵克運營(yíng)著(zhù)全球規模領(lǐng)先的威脅情報網(wǎng)絡(luò ),能夠發(fā)現和抵御最高級威脅。
