数据同时是任何组织的优势和风险。关于巨大数据泄露的恐怖故事比谋杀案更快地使头条新闻,并可能导致市场价值大幅下降,负面宣传以及对公司的不信任。
一些涉及损害数据的最大丑闻是2013年对Yahoo的攻击(30亿用户帐户受到损害),Mariott在2014年至2018年之间正在进行的数据泄露影响了5亿客户,以及最新的Sephora问题,在东南亚的Sephora问题却不明。
没有组织是安全的;没有魔术公式可以确保100%的数据保护。但是,由于优势超过了缺点,因此数据富含数据的商业智能和CRM系统将留在这里,组织需要找到合理的方法来确保其安全性。
以下是在大规模思考数据安全管理时要考虑的一些含义。
确定漏洞
经验法则是,根据定义,任何数据流都易受攻击,因为它可以被劫持并用作系统中的漏洞。即使只是从数据库中读取信息或能够将其复制到外部存储库也是一个重大问题。成功的利用可以修改,删除或创建新记录。虽然有些攻击需要人类同意,但有些攻击更具颠覆性。
确保数据系统免受此类问题的最简单方法之一是在发布新版本后立即更新软件。例如,与内容管理系统相比,大多数商业智能套件版本不一定提供新功能,而是观察到的漏洞,从而使系统更安全。
加密通信
数据加密会产生更多的成本,需要额外的资源,但花费了很多钱。商业智能工具是黑客的主要目标,因为这是竞争优势居住的地方,并且控制数据将意味着控制整个公司。
如果不进行偏执,您应该始终考虑中间人攻击的可能性,这意味着任何通信部分都可以被黑客拦截并破译。一旦在服务器上,数据就不安全。最好始终保持其对其进行加密,并受到两因素身份验证的保护。
一旦在服务器上,数据就不安全。最好始终保持其加密。
另一个保护层是将数据存储分割并在几个服务器上分配,并有一些冗余,以保护自己免受任何中央攻击。您的数据应该像一个难题,只有您才能将地图放在一起。
确保BYOD政策
执行端到端加密的另一个原因是,在员工自己的设备(例如智能手机和平板电脑)上安装商业智能工具的增长趋势。这些经常在无抵押环境中使用,例如公共Wi-Fi网络,因此可以将公司数据暴露于盗窃机会。
设置权限和层次结构
由于知识是力量,因此需要受角色的限制。始终为组织中的每个用户或具有指定权利的用户组创建一组许可规则。确保每个用户都有足够的权限来完成他们的日常任务,而无需外部输入,但具有足够的限制来保护敏感信息。
跟踪每个文件的更改并为作者显示此类更改的日志也是一个明智的想法。此外,您可以根据IP限制对机构网络敏感数据的访问,尽管这对于允许员工移动性的组织可能具有挑战性。
限制访问的一种创新方法是使用图像识别技术基于生物识别技术(例如视网膜或指纹扫描甚至面部识别)授予权限。这是执法部门得出和使用的想法,以扫描嫌疑犯的人群。
最后一个提示:对于敏感数据,请确保至少有两个经理可以授予访问权限,以防万一出现问题,因为从长远来看,这将为您节省大量的努力。
密码保护和访问控制
尽管必不可少,但设置强密码并保持私密的问题是大多数商业智能系统的主要故障点。一个人为错误可以比任何黑客攻击更快地损害您的整个网络。
请确保对密码管理进行适当的培训,并确定每隔几个月更改密码的明确规则。
考虑润饰
压阻是一种方法,即在垃圾邮件邮件中检测到异常操作时故意减慢服务器的速度。这为组织提供了检测攻击的时间,并可能阻止攻击者。
准备好云?
商业智能解决方案和云是互补的技术,它们无缝地合作。
如果您将业务智能数据保存在云中,则服务提供商负责受托信息的安全性。这就是为什么您需要选择信誉良好的服务,例如行业巨头提供的服务:亚马逊,Google或IBM等。他们拥有必要的基础设施,专有技术和财务资源,以确保最低的停机时间确保最先进的安全性。请记住,拥有本地服务器意味着面临相同的风险,但成本要高得多,以获得相同的保护水平。
使用商业智能进行安全
最后但并非最不重要的一点是,您可以使用商业智能系统本身来增强公司数据的安全性。在您的业务智能仪表板上创建“安全视图”,并查看发送的电子邮件数量,大小?上传/下载的数据以及IPS访问数据的位置。当然,如果这对您的内部团队来说是太多麻烦,那么您总是可以找到外部帮助。
商业智能与安全:清单
?商业智能工具有三个级别的安全性,每个工具都应该具有世界一流的质量。
可怕的风险评估模型(损坏,可重复性,可剥削性,受影响的用户,可发现性)
在过程级别,您需要使用Dread Risk评估模型来扫描漏洞并进行外部渗透测试。在系统/对象级别方面,请务必与当前系统和清晰的用户层次结构进行集成。最后,在数据级别上,要求行级安全性保护您的内部数据资产。