新思科技指出企業(yè)要更好地保護敏感數據,符合當地法律法規要求,就必須創(chuàng )建數據安全策略和框架,多部門(mén)協(xié)作共同保障數據安全。
世界各地的消費者隱私法
歐盟數據保護指令(DPD)完善了個(gè)人數據在歐盟內的處理的規范。加拿大《個(gè)人信息保護和電子文件法》(PIPEDA)規定了個(gè)人數據的使用權限。這些是最早一批頒布的隱私法。歐盟在2018年出臺的《通用數據保護條例》(GDPR)引起國際廣泛關(guān)注。
在中國,政府也頒布了相關(guān)法律法規。比如2017年正式實(shí)施了《網(wǎng)絡(luò )安全法》,旨在保障網(wǎng)絡(luò )安全,維護各主體網(wǎng)絡(luò )空間權益,促進(jìn)經(jīng)濟社會(huì )信息化健康發(fā)展。另外,近日頒布的《數據安全法》有助于規范數據處理活動(dòng),保障數據安全,維護各主體數據相關(guān)權益。而且即將在11月1日生效的《個(gè)人信息保護法》也將更加有效地保護個(gè)人隱私。
新思科技軟件質(zhì)量與安全部門(mén)高級安全架構師楊國梁表示:“現在,政府和企業(yè)都在推進(jìn)數字化、智能化及云化轉型,安全需求不斷升溫,對網(wǎng)絡(luò )安全行業(yè)的重視程度也在持續提升。各方都需要加強數據安全技術(shù)的應用。”
數據安全戰略和框架
企業(yè)必須首先創(chuàng )建符合其業(yè)務(wù)需求的數據戰略和建構。這對于那些以用戶(hù)數據作為其業(yè)務(wù)戰略的一部分的企業(yè)來(lái)說(shuō)尤為重要。這需要企業(yè)建立并協(xié)調主要指標和目標,用于監管合規、數據安全治理、支持IT戰略和預估風(fēng)險等。
其次,企業(yè)須進(jìn)行數據查找和分類(lèi),明確訪(fǎng)問(wèn)權限,并在企業(yè)的生命周期內管理數據集。數據分類(lèi)需要注意文件、數據庫和電子郵件的敏感度;而訪(fǎng)問(wèn)權限則規定哪些群體或個(gè)人被授予訪(fǎng)問(wèn)權。類(lèi)似地,應用需根據程序內數據的關(guān)鍵程度,以及它們是面向外部/內部,或云管理等進(jìn)行分類(lèi)。
此外,應由企業(yè)內不同團隊制定合理的數據安全政策和充足的執行資源,并經(jīng)執行管理層批準。在戰略敲定后,企業(yè)應選擇有助于確保數據和應用安全的安全工具、產(chǎn)品和服務(wù)。
數據保護需要協(xié)作
首席信息安全官(CISO)的主要職責之一是保護其公司的重要數字資產(chǎn),包括企業(yè)知識產(chǎn)權,例如轉悠源代碼和其它專(zhuān)利技術(shù)和機密信息。隨著(zhù)數據隱私條例陸續頒布,CISO還需要保護用戶(hù)數據,包括個(gè)人身份信息、健康信息、支付卡數據等。
這些新頒發(fā)的法律法規加強了對用戶(hù)數據的使用和保留的限制。這需要企業(yè)保護用戶(hù)數據和其在內部及與處理這些數據的第三方供應商的使用。CISO 需要與不同崗位的同事協(xié)作,包括數據保護、IT 基礎設施、合規性和軟件開(kāi)發(fā)部門(mén)等,以確保遵守數據保護和隱私法律、標準和指南。此外,混合云和多云服務(wù)的出現和采用為數據安全帶來(lái)了新的挑戰。諸如數據的地理來(lái)源、存儲位置和用戶(hù)訪(fǎng)問(wèn)位置點(diǎn)等因素也進(jìn)一步使數據保護變得復雜。因此,服務(wù)提供商和主要云基礎設施提供商需要采取更多、更有效的舉措以保護數據。
應用安全在數據保護中的角色
了解應用安全如何與數據和隱私保護聯(lián)系起來(lái)至關(guān)重要。越來(lái)越多行業(yè)正在數字化轉型,企業(yè)也不得不將業(yè)務(wù)數字化,并且要比競爭對手更早行動(dòng)以獲得新客戶(hù)和留住客戶(hù)。在金融服務(wù)行業(yè)、醫療保健和電子商務(wù)/零售細分市場(chǎng)尤其如此,移動(dòng)和 Web 應用程序和網(wǎng)站的使用量顯著(zhù)增加。然而,這些網(wǎng)站和應用也可能成為黑客的攻擊媒介。黑客利用它們作為進(jìn)入企業(yè)數據庫的入口,其中包含可以在暗網(wǎng)上貨幣化的敏感用戶(hù)數據。
從安全和系統工程的角度來(lái)看,新系統的軟件安全服務(wù)、架構分析和威脅建模同樣重要。CISO 應與其軟件應用開(kāi)發(fā)、第三方應用采購和系統工程的負責人合作,以更好地保護敏感數據免受網(wǎng)絡(luò )攻擊。數據泄露可能導致高昂的代價(jià)。
楊國梁總結道:“雖然大家討論得較多的是數據安全,但數據安全與否其實(shí)是一種結果。歸根結底,數據不夠安全的原因在于處理這些數據的應用軟件在設計或實(shí)現上有明顯的缺陷,被攻擊者利用,而導致數據被竊取。在代碼層面進(jìn)行安全檢測,甚至在設計階段就引入安全屬性,是為了從源頭上盡量規避、解決這類(lèi)問(wèn)題,把風(fēng)險問(wèn)題控制在產(chǎn)品推出市場(chǎng)之前。這也就是我們常說(shuō)的安全‘左移’,在軟件開(kāi)發(fā)早期就確保安全。”
