當下,數據無疑對任何企業(yè)和個人來說都是最重要的資產 -- 它不僅關系到個人在數字世界中的存在,還包括為企業(yè)帶來的前所未有的巨大商機。數據隱私一直是數百萬企業(yè)和數億消費者的隱憂,這是由于他們對數字環(huán)境中的個人信息收集、使用、整理、處理或共享狀態(tài)僅有有限的了解。
在2016年,歐盟出臺了《通用數據保護條例(GDPR)》,重點針對數據安全和隱私保護問題。該條例的基本理念強調,數據隱私是公民的基本權利,企業(yè)有責任部署數據隱私策略,積極確保數據安全,并將數據隱私安全嵌入設計之初。同時,在2016年,中國政府制定了《網絡安全法》,旨在統(tǒng)一規(guī)范企業(yè)對個人信息的收集和使用標準。根據該法律規(guī)定,在中國的企業(yè)不僅需要重視“數據安全”,同樣需要保護“個人隱私”。
‘以信息為中心’的安全策略的重要性
過去,企業(yè)能夠依賴網絡邊界來保護機密信息的完整性,但今非昔比,這種傳統(tǒng)措施已經無法滿足當今的保護需求。如今,傳統(tǒng)防線之外的數據不斷飆升,網絡犯罪分子虎視眈眈,伺機而動,企業(yè)必須實施端到端的信息安全防護。如果不能妥善保護信息安全,那么企業(yè)將面臨的不僅是前所未有的資產損失,還會導品牌和聲譽因數據泄露而嚴重受損。
賽門鐵克認為,不以設備、網絡或用戶為中心,但‘以數據為中心’的信息保護策略能夠應對企業(yè)面臨的諸多數據保護挑戰(zhàn) -- 我們稱之為 Information Centric Security,‘以信息為中心’的安全防護。本質上,‘以信息為中心’安全策略是指運用一系列信息保護技術對任何位置和任何訪問者的個人敏感數據提供全面的保護。
這也標志著一種全新信息安全保護措施的誕生。現在,許多數據保護系統(tǒng)都專注于數據存儲庫(如網絡存儲)、數據傳輸機制(如電子郵件)或數據應用(如財務系統(tǒng)),而非數據本身。而以‘信息為中心’的安全策略能夠結合不同技術,利用自動化或基于用戶的分類和識別技術,覆蓋電腦、服務器、電子郵件系統(tǒng)、設備及云,發(fā)現閑置、使用或傳輸中的敏感和個人數據,并在集中的用戶監(jiān)控下,基于策略,通過自動加密和數字權限管理來保護數據。
以下是部署‘以信息為中心’的安全策略的五個步驟:
1.根據業(yè)務風險對信息資產進行優(yōu)先級劃分
首要的第一步,企業(yè)需要投入足夠的時間和精力來判斷哪些數據對他們而言更具有價值,評估數據泄漏所可能造成的潛在業(yè)務風險。任何有關企業(yè)安全的對話都應當從這一步開始。這一步的最終目的在于明確需要保護的數據及其業(yè)務價值。
因此,企業(yè)需要首先識別最為重要的信息資產,并進行優(yōu)先級劃分,而這將在企業(yè)通過采取多層控制和保護措施的整體數據保護策略實施之下,且覆蓋整個數據生命周期。同時,安全團隊需要與日常接觸信息最多的業(yè)務領導者緊密協(xié)作,從而充分了解業(yè)務需求及其對日常運營、員工行為和企業(yè)文化的影響。
2.為最重要的資產制定數據保護策略
企業(yè)機密信息可以被存儲在企業(yè)的任何一個角落。要想做到全程跟蹤,制定一對一保護政策極其困難。賽門鐵克建議,企業(yè)需要對主要信息類型進行排名,如企業(yè)財務、工程計劃、客戶個人身份信息等,然后根據優(yōu)先級重新排序,并監(jiān)控電子郵件、網頁、云應用和端點等高流量渠道。
下一步,企業(yè)應該確定策略的部署時間,根據實際情況留出充足的時間,這將幫助安全團隊優(yōu)化新策略并盡量減少誤報,同時讓各業(yè)務部門為適應流程變更做準備。
3.技術與策略雙管齊下 改變員工行為
事實上,企業(yè)最大的安全漏洞是自己的員工。長期以來,許多員工對安全實踐并不上心,例如重復使用弱密碼、點擊惡意鏈接和隨意共享文件等不良習慣屢絕不止。相比強制實施的法律、法規(guī)和政策,技術與流程的恰當結合則更加有效,能夠引導正確的員工行為,降低業(yè)務風險,例如在使用特定窗口之后部署密碼管理策略,實施強制的密碼要求。
賽門鐵克建議,企業(yè)不要局限于基本的網絡和應用安全,比如防火墻和入侵檢測系統(tǒng)等,應利用‘以數據為中心’的安全策略為信息資產實施特定的保護,比如多因素身份驗證、數據防泄漏防護、云訪問安全、加密和數字權限管理。
4.將數據保護實踐集成到業(yè)務流程中
如果與業(yè)務流程無交集,那么數據安全技術的有效性將會被大打折扣。若要數據保護策略順利實施,企業(yè)必須考慮哪些業(yè)務流程是管理信息資產用途的關鍵點,例如產品開發(fā)、風險、合規(guī)和法律。企業(yè)需要將數據保護流程與業(yè)務流程和現行法規(guī)相融合,才能夠獲得最佳的安全防護。
5.創(chuàng)建企業(yè)數據安全文化
成功的數據保護策略不僅需要技術和流程,確保信息資產安全,還離不開企業(yè)內部的共同努力和責任共享。制定或加強企業(yè)內部的宣傳戰(zhàn)略十分重要,這將提高員工對敏感數據的理解,提升對數據保護的責任感,以及對數據泄露后果影響的進一步了解。
可以說,樹立正確的數據保護意識,從未像現在一樣如此重要。考慮到愈加嚴格的監(jiān)管環(huán)境和嚴厲的懲罰,以及發(fā)生數據泄露事件后帶來的品牌受損,構建全面的信息保護策略應該成為所有企業(yè)在2018年的首要任務。
關于賽門鐵克:
賽門鐵克公司(納斯達克:SYMC)是全球領先的網絡安全企業(yè),旨在幫助個人、企業(yè)和政府機構保護無處不在的重要數據安全。全球企業(yè)都青睞選用賽門鐵克的戰(zhàn)略性集成式解決方案,在端點、云和基礎架構抵御復雜攻擊。同時,全球 5000 多萬的個人和家庭也在使用賽門鐵克的 Norton 和 LifeLock 產品,保護家庭各類聯(lián)網設備安全,暢享無憂數字生活。賽門鐵克運營著全球規(guī)模領先的威脅情報網絡,能夠發(fā)現和抵御最高級威脅。
