CISO可以利用CISO的数据知识和治理技能来加强安全性,而CISO可以利用CISO的内部和外部威胁知识来保护数据。两者之间有更好的合作。Alation解决方案营销总监MylesSuer表示,他最近在与一家分析公司的分析师的电话会议上讨论了数据安全问题。分析师表示,大多数企业CISO仍然专注于保护他们的业务免受外部入侵或损害,而不是保护他们公司最有价值的资产(数据)免受内部和外部威胁。大多数人都非常关心《隐私工程师宣言》作者所说的“访问阶段保护”。ConstellationResearch的分析师DionHinchcliffe说:“不幸的是,安全是没有界限的。”“人们再也不能相信任何东西,即使是在外围。任何人都可以连接到全球互联网,网络攻击者可以攻击所有人。”前CIOWayneSadin对此表示赞同,他说:“我特别不喜欢‘边界’,因为它意味着‘内部=安全,外部=危险’”。他说,虽然访问阶段保护仍然是安全架构的重要组成部分,但CISO有机会做更多事情并与首席数据官合作,以保护公司及其数据的真正价值。采取这一步骤的原因是,正如CISO所知,网络攻击者正变得越来越老练。其中一些不暴力攻击企业防火墙,而是寻找知名的窗口。他们通过将控制数据库访问的数据库作为目标,并使用网络钓鱼和其他攻击技术来获取企业的客户数据,从而使网络攻击者能够访问企业客户数据库中的所有内容。安全教育仍然很重要,所以问题来了:为什么CISO和CDO不积极保护他们公司的数据?这是建立合作伙伴关系的绝佳机会,因为CISO可以利用CDO数据知识和治理技能,而CDO可以利用CISO对内部和外部威胁的了解。系统化数据治理保护数据的一个核心要素是系统化数据治理。通过数据治理,任何人(无论职位或资历如何)都不应有权访问所有数据。需要的是建立一些安全原则和流程,将控制和信息构建到流程、系统、组件和产品中,以实现对个人信息的授权、公平和合法处理。具体而言,合作机会是为个人身份信息(PII)建立数据治理并遵守ISO27001标准。企业CISO和首席数据官现在应该面临的问题是如何做好这一点,尤其是在传统企业。为此,建议企业执行以下三个步骤:第一步:建立数据管理一切都需要从数据管理开始。重要的是要注意,数据管理员不像IT那样关心数据。只有数据的所有者知道应该如何管理数据以及他们的行业需要遵循的有关个人身份信息(PII)的合规性要求。因此,它的首要任务就是为数据类建立一个数据所有者。通过这样做,数据管理员需要确保向最终数据所有者提供有关如何维护、管理、治理和保护数据的数据策略。虽然有隐私类型,但这里的重点是安全、道德和隐私。Constellation的Hinchcliffe说,保持数据安全的第一步是在组织内建立权威,然后集中足够的资源来做每一件事。这样,治理、隐私、安全策略就可以得到充分开发和执行。在这里,采用非侵入式方法进行数据治理非常重要。这种方法的前提是企业已经在管理数据,但他们以非正式的方式进行管理,导致管理数据的方式效率低下或无效。它是一个有效的数据治理程序,旨在编纂有关数据收集、创建、定义、对齐、优先级排序、监控和执行的规则。这包括创建数据治理规则和数据定义。对于个人身份信息(PII)尤其如此。您可以在此处确定谁可以查看或修改数据。从流程上来说,数据治理至少包括以下几个步骤:1)数据规则和定义;2)决策规则;3)问责制;4)控制;5)数据利益相关者;6)资料管理员;7)数据处理。建立数据规则和流程后,CISO和CDO可以实施下一阶段,即第2步。第2步:数据发现遗憾的是,许多企业并不知道他们拥有什么数据,甚至不知道数据位于何处。这包括个人身份信息(PII)。所以这一步都是关于数据发现的。CIOMartinDavis建议在实施第二步时,企业对数据、使用地点和使用方式进行分类,因为没有办法管理你不知道的东西。这是一个必不可少的步骤,即使是出于保护数据和遵守隐私法规和治理的最佳意图。如果不知道暴露数据的存在和位置,也无法进行保护。此过程涉及发现、目录和元数据创建,这是保护数据的关键功能。在发现过程可以自动发现潜在的个人身份信息(PII)的情况下尤其如此。第3步:保护数据在第3步中,将策略应用于敏感数据(在数据目录中!),以便其他人知道如何/不能使用该数据。目标应该是保护动态数据和静态数据。为此,采用了各种数据保护技术。在这里,除了像数据库加密这样的粗粒度控制之外,还必须强制执行这些。这些类型的方法容易受到数据库钓鱼事件的攻击。此外,加密仅保护和锁定那些没有凭据的数据。这在很多层面上都是有问题的。遗憾的是,企业需要在内部和外部保护他们的数据。这要求数据访问者具有不同的访问权限并遵守隐私规则。表、行和列的粗粒度加密处于打开或关闭状态。这确实适用于组织想要防范网络攻击的场景。粗粒度加密仅保护企业免受外部影响,并且前提是尚未获得员工凭证。事实上,即使通过加密完成了数据保护,也需要授权(谁可以访问什么)。加密主要有助于防止存储设备/磁盘和数据包嗅探器被盗。与此同时,企业需要能够使用数据来创造业务创新和增长所需的洞察力。例如,在大数据中,其目标不应干扰数据集成或保护客户隐私权的监管要求。这意味着数据应该可用于执行分析和关键业务流程。但与此同时,应保护非公开的个人身份信息不被内部或外部各方未经授权使用。相比之下,细粒度控制包括授权、阻止和角色加密。这使企业能够抵御内部和外部威胁。这允许企业通过角色、人员或数据来控制人们可以看到的内容。这可以实现更智能、动态数据、以人为本的数据保护。此外,有效的数据管理应该使用假名来代替数据主体的身份,以便需要额外的信息来重新识别数据主体。此附加信息应与人员、角色和数据本身相关。符合ISO27001需要一种技术方法,不仅可以智能地保护对数据的访问,还可以保护动态数据。要做到这一点,需要与数据一起移动的数据规则。这种集中管理和别名可以保护到达任何地方的数据。可以通过医疗行业的例子来理解这种方法的力量。患者可能希望医生能够访问他们的完整医疗记录,但不能访问他的财务记录。结论总之,这3个步骤是CISO和CDO之间保持一致所必需的。这是两个职能部门获得商业信誉的好机会。但问题仍然存在:他们是否准备好共同努力,为企业和客户创造一个更美好、更安全的世界?
