随着数据泄露成为头条新闻,客户和企业领导者可能会担心他们的组织在保护客户个人身份信息(PII)方面做得不够。在当今动荡的经济和威胁形势下,组织可以做些什么来更好地保护不断增加的PII数据流?在某些情况下,企业无法正确存储数据。也有企业没有采取适当措施的情况。数据泄露的后果远远超出金钱损失。数据泄露可能对组织的声誉和客户信心造成的损害也会损害企业利润。更复杂的是,许多组织经常出于营销或其他目的与其他公司共享用户数据,造成更多PII泄漏的“完美风暴”。为什么保护PII的安全如此困难?PII是可用于识别特定个人的任何数据。常见的PII数据包括电话号码、社会安全号码、电子邮件地址和家庭住址。随着技术的采用,PII的范围已大大扩展,包括登录ID、IP地址、数字图像,甚至社交媒体帖子。其他数据,例如生物特征数据、行为数据和地理位置数据,也可以归类为PII。无论您的组织属于哪个行业,即使不是医疗保健或金融行业,保护客户PII的安全也至关重要。那么,企业应该如何存储私有数据呢?与密码相关的问题在与安全专家FrankAbagnale交谈时,他的建议是:用户名+密码身份验证方法已经过时,是造成安全漏洞的最大因素。随着复杂程度的增加,用户只会感到沮丧和不满意。Abagnale建议放弃密码作为有利于身份和访问管理(IAM)的安全机制。使用安全散列算法和其他加密技术存储密码等风险缓解解决方案可能在短期内有所帮助。但是您仍然容易受到暴力攻击、字典攻击和彩虹攻击等类型的攻击。此外,当使用密码访问PII时,您的公司仍然容易受到网络钓鱼电子邮件的攻击。将来,PII保护可能会受益于类似于当前用于在用户手机上执行身份验证的技术,例如在手机上部署加密密钥。PII保护最佳实践密码和身份验证方法在短期内不会有太大变化。在企业准备好彻底转变思维和适应新实践之前,我们仍然需要挖掘现有资源的全部潜力。以下是组织可以采取的六个步骤来有效保护其PII:1.确定要保护的内容及其存储位置保护PII的第一步是充分了解收集的PII内容及其存储位置。您还应该确定是否正确收集了数据以及是否采取了适当的安全措施。2.明确合规性规定不同行业需要遵守特定的合规性法律法规来管理PII的收集、存储、处理和传输。这些法规还可能与客户数据或其存储位置有关,而不是特定于您的行业。您所在的行业可能需要遵守以下一项或多项一般法规:通用数据保护条例(GDPR)健康保险流通与责任法案(HIPAA)个人信息保护和电子文件法案(PIPEDA)支付卡行业数据安全标准(PCIDSS))3.进行PII风险评估要识别您的安全策略中的任何差距或弱点,您必须确定以下内容:您正在采取的确保合规性的措施对于不受监管的PII,存在哪些声誉、运营和安全风险?·从最有可能到最不可能的威胁源列表·风险管理策略4.安全删除不必要的PII存储业务不需要的PII可能会带来安全风险。因此,您需要花时间搜索此数据并确定应从中删除的内容。此类数据可能包括:有关不再与您开展业务的客户的数据在未使用的设备上发现的过期员工记录(即离开公司超过一年的员工)PII5。PII分类PII可以具有不同级别的敏感度。例如,信用卡数据比电子邮件列表更敏感。因此,根据数据对机密性和隐私的影响对数据进行分类是保护PII的关键步骤之一。6.安全计划和政策审查永远不要忽视对组织的安全计划进行频繁审查。此类做法应包括对PII保护工具和解决方案的分析。随着数据隐私法的更新,您的政策可能也需要更新以反映这些变化。安全策略应包含来自可信框架的最佳安全控制实践,例如美国国家技术研究院(NIST)框架、系统组织控制(SOC)2或互联网安全中心(CIS)控制。最后,您的政策应通过单独的部分明确定义与PII相关的安全意识培训。自上而下的组织意识随着与PII相关的威胁形势迅速加剧,公司必须确保其员工了解如何保护PII数据并了解当前的威胁。最高管理层的支持是任何安全意识计划的关键要素之一。自上而下推动安全意识的组织文化几乎总是弊大于利。参与红/蓝团队活动的高管可以更好地了解公司的盲点所在,并据此制定PII保护计划。目前尚不清楚积极变化的催化剂是什么。随着数据泄露事件的增多,保护您的PII比以往任何时候都更加重要。未来的发展趋势是什么?也许它正在采用不同的方法来存储身份验证数据,或者利用我们可能没有听说过的人工智能和技术,提高组织意识,或者只是遵循此处概述的一些步骤。对于任何企业来说,积极进取肯定是有利无害的。*点击了解更多IBM个人身份信息保护措施的历史推荐文章>>>*IBM冯亮:混合云时代的原生安全观*远程工作环境中的可见性和威胁检测*如何通过改进威胁管理的互连级别?关于IBMSecurity>>>IBMSecurity是IBM的信息安全解决方案和服务部门,在全球和本地各行各业的客户中拥有多年的深厚经验。IBMSecurity保护着全球95%的世界500强企业和组织的信息安全。其客户涵盖金融、医疗、汽车、科技、电信、航空等行业的公司和集团,包括全球50家最大的金融和银行机构。49、全球最大的15家医疗机构中的14家、全球最大的15家科技公司中的14家等。IBMSecurity在Gartner、Forrester、IDC发布的12份不同分析报告中被列为Leaders的12项技术解决方案位居行业第一,和别的。
