當下,數(shù)據(jù)無疑對任何企業(yè)和個人來說都是最重要的資產(chǎn) -- 它不僅關系到個人在數(shù)字世界中的存在,還包括為企業(yè)帶來的前所未有的巨大商機。數(shù)據(jù)隱私一直是數(shù)百萬企業(yè)和數(shù)億消費者的隱憂,這是由于他們對數(shù)字環(huán)境中的個人信息收集、使用、整理、處理或共享狀態(tài)僅有有限的了解。
在2016年,歐盟出臺了《通用數(shù)據(jù)保護條例(GDPR)》,重點針對數(shù)據(jù)安全和隱私保護問題。該條例的基本理念強調,數(shù)據(jù)隱私是公民的基本權利,企業(yè)有責任部署數(shù)據(jù)隱私策略,積極確保數(shù)據(jù)安全,并將數(shù)據(jù)隱私安全嵌入設計之初。同時,在2016年,中國政府制定了《網(wǎng)絡安全法》,旨在統(tǒng)一規(guī)范企業(yè)對個人信息的收集和使用標準。根據(jù)該法律規(guī)定,在中國的企業(yè)不僅需要重視“數(shù)據(jù)安全”,同樣需要保護“個人隱私”。
‘以信息為中心’的安全策略的重要性
過去,企業(yè)能夠依賴網(wǎng)絡邊界來保護機密信息的完整性,但今非昔比,這種傳統(tǒng)措施已經(jīng)無法滿足當今的保護需求。如今,傳統(tǒng)防線之外的數(shù)據(jù)不斷飆升,網(wǎng)絡犯罪分子虎視眈眈,伺機而動,企業(yè)必須實施端到端的信息安全防護。如果不能妥善保護信息安全,那么企業(yè)將面臨的不僅是前所未有的資產(chǎn)損失,還會導品牌和聲譽因數(shù)據(jù)泄露而嚴重受損。
賽門鐵克認為,不以設備、網(wǎng)絡或用戶為中心,但‘以數(shù)據(jù)為中心’的信息保護策略能夠應對企業(yè)面臨的諸多數(shù)據(jù)保護挑戰(zhàn) -- 我們稱之為 Information Centric Security,‘以信息為中心’的安全防護。本質上,‘以信息為中心’安全策略是指運用一系列信息保護技術對任何位置和任何訪問者的個人敏感數(shù)據(jù)提供全面的保護。
這也標志著一種全新信息安全保護措施的誕生。現(xiàn)在,許多數(shù)據(jù)保護系統(tǒng)都專注于數(shù)據(jù)存儲庫(如網(wǎng)絡存儲)、數(shù)據(jù)傳輸機制(如電子郵件)或數(shù)據(jù)應用(如財務系統(tǒng)),而非數(shù)據(jù)本身。而以‘信息為中心’的安全策略能夠結合不同技術,利用自動化或基于用戶的分類和識別技術,覆蓋電腦、服務器、電子郵件系統(tǒng)、設備及云,發(fā)現(xiàn)閑置、使用或傳輸中的敏感和個人數(shù)據(jù),并在集中的用戶監(jiān)控下,基于策略,通過自動加密和數(shù)字權限管理來保護數(shù)據(jù)。
以下是部署‘以信息為中心’的安全策略的五個步驟:
1.根據(jù)業(yè)務風險對信息資產(chǎn)進行優(yōu)先級劃分
首要的第一步,企業(yè)需要投入足夠的時間和精力來判斷哪些數(shù)據(jù)對他們而言更具有價值,評估數(shù)據(jù)泄漏所可能造成的潛在業(yè)務風險。任何有關企業(yè)安全的對話都應當從這一步開始。這一步的最終目的在于明確需要保護的數(shù)據(jù)及其業(yè)務價值。
因此,企業(yè)需要首先識別最為重要的信息資產(chǎn),并進行優(yōu)先級劃分,而這將在企業(yè)通過采取多層控制和保護措施的整體數(shù)據(jù)保護策略實施之下,且覆蓋整個數(shù)據(jù)生命周期。同時,安全團隊需要與日常接觸信息最多的業(yè)務領導者緊密協(xié)作,從而充分了解業(yè)務需求及其對日常運營、員工行為和企業(yè)文化的影響。
2.為最重要的資產(chǎn)制定數(shù)據(jù)保護策略
企業(yè)機密信息可以被存儲在企業(yè)的任何一個角落。要想做到全程跟蹤,制定一對一保護政策極其困難。賽門鐵克建議,企業(yè)需要對主要信息類型進行排名,如企業(yè)財務、工程計劃、客戶個人身份信息等,然后根據(jù)優(yōu)先級重新排序,并監(jiān)控電子郵件、網(wǎng)頁、云應用和端點等高流量渠道。
下一步,企業(yè)應該確定策略的部署時間,根據(jù)實際情況留出充足的時間,這將幫助安全團隊優(yōu)化新策略并盡量減少誤報,同時讓各業(yè)務部門為適應流程變更做準備。
3.技術與策略雙管齊下 改變員工行為
事實上,企業(yè)最大的安全漏洞是自己的員工。長期以來,許多員工對安全實踐并不上心,例如重復使用弱密碼、點擊惡意鏈接和隨意共享文件等不良習慣屢絕不止。相比強制實施的法律、法規(guī)和政策,技術與流程的恰當結合則更加有效,能夠引導正確的員工行為,降低業(yè)務風險,例如在使用特定窗口之后部署密碼管理策略,實施強制的密碼要求。
賽門鐵克建議,企業(yè)不要局限于基本的網(wǎng)絡和應用安全,比如防火墻和入侵檢測系統(tǒng)等,應利用‘以數(shù)據(jù)為中心’的安全策略為信息資產(chǎn)實施特定的保護,比如多因素身份驗證、數(shù)據(jù)防泄漏防護、云訪問安全、加密和數(shù)字權限管理。
4.將數(shù)據(jù)保護實踐集成到業(yè)務流程中
如果與業(yè)務流程無交集,那么數(shù)據(jù)安全技術的有效性將會被大打折扣。若要數(shù)據(jù)保護策略順利實施,企業(yè)必須考慮哪些業(yè)務流程是管理信息資產(chǎn)用途的關鍵點,例如產(chǎn)品開發(fā)、風險、合規(guī)和法律。企業(yè)需要將數(shù)據(jù)保護流程與業(yè)務流程和現(xiàn)行法規(guī)相融合,才能夠獲得最佳的安全防護。
5.創(chuàng)建企業(yè)數(shù)據(jù)安全文化
成功的數(shù)據(jù)保護策略不僅需要技術和流程,確保信息資產(chǎn)安全,還離不開企業(yè)內(nèi)部的共同努力和責任共享。制定或加強企業(yè)內(nèi)部的宣傳戰(zhàn)略十分重要,這將提高員工對敏感數(shù)據(jù)的理解,提升對數(shù)據(jù)保護的責任感,以及對數(shù)據(jù)泄露后果影響的進一步了解。
可以說,樹立正確的數(shù)據(jù)保護意識,從未像現(xiàn)在一樣如此重要。考慮到愈加嚴格的監(jiān)管環(huán)境和嚴厲的懲罰,以及發(fā)生數(shù)據(jù)泄露事件后帶來的品牌受損,構建全面的信息保護策略應該成為所有企業(yè)在2018年的首要任務。
關于賽門鐵克:
賽門鐵克公司(納斯達克:SYMC)是全球領先的網(wǎng)絡安全企業(yè),旨在幫助個人、企業(yè)和政府機構保護無處不在的重要數(shù)據(jù)安全。全球企業(yè)都青睞選用賽門鐵克的戰(zhàn)略性集成式解決方案,在端點、云和基礎架構抵御復雜攻擊。同時,全球 5000 多萬的個人和家庭也在使用賽門鐵克的 Norton 和 LifeLock 產(chǎn)品,保護家庭各類聯(lián)網(wǎng)設備安全,暢享無憂數(shù)字生活。賽門鐵克運營著全球規(guī)模領先的威脅情報網(wǎng)絡,能夠發(fā)現(xiàn)和抵御最高級威脅。
