数据安全一直很重要。但由于当前的危机,随着越来越多的人远程工作,云计算的使用量猛增,未经授权访问数据的机会比以往任何时候都多。黑客正在利用这一点。例如,国际刑警组织和美国商会都报告说,自大流行开始以来,网络攻击的发生率急剧上升。因此,无论组织做什么,如果它处理个人身份数据(PII),那么提高数据安全性是2022年及以后的绝对必要条件。以下是有关贵组织数据安全的信息,包括最常见的威胁、合规性要求和最佳实践。1为什么数据安全很重要数据安全至关重要,因为数据泄露会给组织带来严重后果。首先,这通常意味着经济损失,根据IBM和PonemonInstitute的数据,2020年数据泄露平均造成386万美元的损失:与数据泄露相关的直接成本中,最大部分来自业务损失。然而,71%的CMO认为,数据泄露的最大影响是会影响品牌资产和品牌价值。根据品牌估值机构Interbrand的说法,品牌价值的很大一部分来自“品牌在购买决策中所扮演的角色”。换句话说,强大的品牌资产实际上可以增加客户为您的产品或服务付费的意愿。但这也意味着糟糕的品牌资产会产生相反的效果。研究表明,65%到80%的消费者将对泄露其数据的公司失去信任。这是对品牌资产的重大打击,数据泄露的潜在影响可能会在未来几年影响品牌。缺乏信任对品牌形象的实际影响在很大程度上取决于违规的细节、它如何影响客户等等。无论哪种方式,失去信任都会对您的业务产生多年的持久影响。II数据安全、数据保护、数据隐私数据安全经常与“数据保护”和“数据隐私”等类似术语混淆,因为它们都指保护数据的方法。然而,这些术语之间的区别在于首先保护数据的原因,以及如何保护数据:数据安全是指保护数据免遭未经授权的访问或使用,这可能会导致数据被暴露、删除或损坏。数据安全的一个例子是,如果您的数据被泄露,可以使用加密来防止黑客使用它。数据保护是指备份或复制数据以防止意外删除或丢失。数据保护的一个例子是创建数据备份,这样即使数据被破坏或自然灾害摧毁了服务器,数据也不会永久丢失。数据隐私是指有关数据处理方式的监管问题、通知问题和许可问题。数据隐私的一个例子是通过使用cookie获得网站访问者的数据收集同意。3.数据安全合规和法规大多数国家/地区都有严格的数据安全法规,公司必须遵守这些法规。违反这些规定的后果可能导致巨额罚款。不幸的是,合规性往往难以掌握,因为要求因国家/地区或某些国家/地区(例如美国)而异,并且与所处理的数据类型相关。因此,您能做的最好的事情之一就是确保您身边有知识渊博的顾问,他们可以帮助您了解法律要求。但是,以下是一些可能影响您的组织的最重要和影响最广泛的数据治理规则。(一)《中华人民共和国数据安全法》《数据安全法》于2021年9月1日起正式实施。明确数据安全主管部门监管职责,建立健全数据安全协同治理体系,提升数据安全保障能力,促进数据出境安全畅通,促进数据开发利用,保护个人和组织的合法权益,维护国家主权、安全和发展利益,使数据安全法治化、规则化,为数字经济安全健康发展提供有力支撑。(2)《中华人民共和国个人信息保护法》《中华人民共和国个人信息保护法》,自2021年11月1日起生效。作为我国第一部个人信息保护专门立法,《个人信息保护法》建立了完整的个人信息保护框架,包括个人信息处理规则、个人信息跨境传输规则等。对个人信息、个人信息处理活动的权利、信息处理者的义务、监管部门的责任和处罚等进行了全面规定。(3)通用数据保护条例(GDPR)GDPR是欧盟的数据保护和隐私法。它于2016年通过并于2018年实施,以保护消费者并协调国内和国际企业的数据管理法规。GDPR要求任何处理个人数据的组织实施“适当的技术和组织措施”来保护该数据(包括获得个人同意以存储和使用该数据)。这意味着在收集用户数据时征求用户同意,在数据泄露时匿名化数据以保护用户,并在数据泄露时遵循特定指南通知用户。(4)健康保险流通与责任法案(HIPAA)HIPAA是美国针对电子保护健康信息(ePHI)的数据安全和保护法。该法案于1996年通过,旨在控制和现代化个人健康数据的管理,包括欺诈和盗窃保护标准、保险公司如何使用它向个人收取服务费用等。对于任何处理ePHI的公司,HIPAA都需要特定的技术、物理和管理保障措施。违反者最高可被判处10年监禁和100,000美元至250,000美元不等的罚款。(5)萨班斯-奥克斯利法案(SOX)萨班斯-奥克斯利法案于2002年通过,以更好地保护企业投资者免受欺诈性金融活动的侵害。它是为应对一些备受瞩目的公司会计丑闻(如安然)而创建的,目的是增加对不准确或不完整财务报告的处罚,包括伪造财务数据以某种方式呈现。它还包括管理企业获取财务信息的条款。SOX主要适用于上市公司及其披露财务信息的方式。但有些因素也适用于私营公司——例如,伪造财务记录或对举报金融犯罪的员工进行报复。(6)联邦信息安全管理法(FISMA)FISMA于2002年通过,规范了美国联邦机构处理数据的方式。它要求任何联邦机构(以及作为分包商/服务提供商的任何私营企业)遵守严格的信息安全政策(FIPS200)和审计程序,以确保它们得到遵守。数据安全的四大威胁当人们想到数据安全的威胁时,首先想到的往往是黑客入侵您的服务器。但现实是,由于员工不安全的行为,对数据安全的最大威胁通常来自内部。例如,IBM和PonemonInstitute研究了2020年数据泄露的根本原因,发现前两个原因是凭据泄露,通常是由于密码薄弱和云配置错误,允许公众访问敏感数据;数据泄露(网络钓鱼诈骗)的另一个主要原因也是适当的员工培训可以预防的事情。IBM研究表明,教员工如何发现网络钓鱼电子邮件和其他社会工程攻击将有助于将数据泄露减少17%。所有这一切都表明,虽然像防火墙这样的技术对于保护您的数据免受安全威胁很重要,但您团队的警惕性可能更为重要。五种数据安全技术有几种不同的技术可用于保护数据。尽可能经常使用这些技术以确保所有潜在的访问点都是安全的。(1)身份验证身份验证是验证用户的登录凭据(密码、生物识别等)以确保它确实是他们自己的过程。它是数据安全策略中最重要的部分之一,因为它是防止未经授权访问敏感信息的第一道防线。身份验证在概念上很简单,但从技术的角度来看,可能很难获得正确的规模。然而,单点登录(SSO)、多因素身份验证(MFA)和破解密码检测等新技术可以在不牺牲用户体验的情况下更轻松地保护身份验证过程。(2)加密数据加密采用算法对敏感信息进行打乱,使其在没有解密所需的特定信息(加密密钥)的情况下无法读取。这是一个非常重要的数据安全工具,因为它确保即使有人未经授权访问您的信息,他们也无法使用它。您应该始终确保您的加密密钥安全存储,并限制尽可能少的人访问它们。(3)TokenizationTokenization类似于加密。但是,标记化不是使用算法对数据进行混洗,而是用随机字符替换数据。然后将与原始数据(“令牌”)的关系存储在单独的受保护数据库表中。(4)数据掩码数据掩码不是将数据转换成中间形式,而是用代理字符“掩码”数据字符。一旦它被交付到目的地,软件就会将其逆转。(5)物理访问控制数据访问控制也是数据安全策略的重要组成部分。数字访问控制通常通过身份验证程序进行管理(并限制可以访问数据的授权用户的数量),而物理访问控制则管理对数据所在物理位置(数据中心或内部服务器机房)的访问。物理访问管理控制包括钥匙卡等保护措施、指纹识别和视网膜扫描等生物认证措施以及安保人员。确保数据安全的六项最佳实践一个全面的数据安全计划由许多活动组成,所有这些活动都是实时执行的,以确保数据安全。您的程序的确切实施将取决于您组织的计算系统的规模和结构。因此,这里的内容并不意味着要逐步分解创建完美数据安全性所需的一切;本文概述了一些重要的概念,这些概念共同构成了数据安全的良好基础。(1)存储数据的安全数据安全的一个重要组成部分是对存储数据的保护。以下是提高数字和物理存储位置安全性的三个最佳实践:管理对敏感信息的访问。根据用户ID管理谁有权访问您的数据,这是一种将敏感信息限制为仅供需要查看的人访问的好方法。如果某人的用户名或登录信息被盗,这将限制损失。加密所有数据。加密是保护数据安全的最佳工具之一。它可以帮助确保黑客无法使用他们可能拥有的任何信息。您还应该确保对传输进行加密,以便为您发送的任何信息增加另一层安全性。从源头保护用户数据。当客户和员工首次(或多次)登录时,可以采用统一登录等安全认证方式来验证和保护他们的信息。这不仅简化了流程并降低了流失风险,而且还有助于将所有敏感数据组织在一个地方,而不是在容易丢失的多个数据库和电子表格中。(2)为安全威胁做好准备网络安全威胁在不断发展和变化,因为黑客总是在安全系统中寻找漏洞。因此,数据安全不是“一劳永逸”的活动,而是日常活动。以下是为潜在攻击做准备的主要方法以及发生任何攻击的后果:加强系统测试。最好的防御就是良好的进攻,而安全数据恢复的最佳进攻是首先确保您的数据不会丢失。但是,虽然自动化可以帮助监控系统,但它根本无法与试图闯入系统的人类的聪明才智相提并论。所以,最好成立一个内部团队来对你的系统进行压力测试,或者找公司外部的人来做。培养安全意识。常见的数据安全攻击,例如鱼叉式网络钓鱼电子邮件和USB陷阱,针对的是没有意识到风险并放松警惕的员工。每天传播Proofpoint的技巧或实施InspiredeLearning进行高管培训可以大大降低这些风险。制定事件管理计划。为数据泄露情况制定全面的响应计划可以极大地限制数据泄露对组织的影响。IT需要知道该做什么,但它也应该为管理层制定指导方针,让员工知道,以及接下来的恢复步骤。制定安全的数据恢复计划。如果出现问题,或者您需要的内容被删除或泄露,请务必做好应对准备。对于许多团队来说,这意味着拥有定期更新的关键数据备份副本。备份本身必须受到保护,并应与其他数据分开。(3)删除未使用的数据总有一天您的数据会过时或不再使用。发生这种情况时,清除这些数据很重要,因为如果它遭到破坏,它仍然会伤害您的用户。以您用户的旧密码为例,由于65%的人在多个网站上重复使用他们的密码,如果他们没有更改所有数字帐户的旧密码,在另一家公司仍然可以使用旧密码泄漏他们的数据.以下是删除未使用数据的两个最佳做法:知道如何以及何时删除。当您需要摆脱数字信息时,您需要做对。当你不得不把敏感信息写在纸上时,你会把它撕掉。你把你的信用卡剪碎,在支票上写上“作废”,然后扔掉。数字数据也不例外。确保当你删除消息时,它们真的消失了,不会在某个地方徘徊,也不会回来咬你。不要忘记物理副本。如果您的任何备份是纸质的,存储在USB驱动器、X光片、缩微胶卷或底片或任何其他与您的数字系统完全独立的物理备份,请不要忘记它们。当您删除不再使用的信息时,请确保该过程的一部分是仔细检查是否存在与该信息对应的物理副本,如果存在,则将其物理销毁。(4)有一些执行合规性审计的标准可以帮助降低数据泄露的风险。您可能还需要遵守一些法律要求来帮助您做到这一点。适用于您的业务的规章制度在很大程度上取决于行业和地点,因此您需要做功课来评估哪些是。但是,如果您处理的是个人身份信息,您最好进行自我审核并确保您的业务合规。这不仅可以让您远离法律麻烦,还可以显着提高数据的安全性。(5)不要忘记移动数据安全根据McAfee的《2020年第一季度移动威胁报告》,仅2018年上半年,移动攻击就达到1.5亿次,2019年又增长了30%。随着移动网络攻击的增加,移动安全成为数据安全策略中更加重要的部分。您可以采取以下几个步骤来提高移动数据的安全性:定期更新所有应用程序以防止间谍软件威胁。删除不活动的应用程序。由于安全漏洞,提供商可能会暂停或删除对它们的访问。在下载新的应用程序之前,请检查请求的权限列表。如果内容看起来过于具有侵入性,员工应该跳过下载,因为它可能包含移动恶意软件。为每个新的移动帐户创建一个唯一的密码。永远不要默认为标准登录。使用加密数据传输的通信应用程序来限制访问。访问内部工具需要多重身份验证。确保员工知道如何远程访问他们的设备。如果设备丢失或被盗,能够快速删除或传输信息至关重要。但是,请记住,移动数据安全不仅仅适用于智能手机和平板电脑。现在,它还包括其他移动设备,如智能手表和可穿戴技术、视频会议工具等。7数据安全取决于人现在比以往任何时候,您的员工都比以往任何时候都处于数据安全的第一线。因此,鼓励正确的行为以确保不会发生违反业务要求的行为是至关重要的。做到这一点的最佳方法之一是为您的团队创造更好的用户体验。简化的用户体验使他们更容易遵循Web安全最佳实践,例如为每个应用程序使用唯一的密码,或使用更长、更复杂的密码。
