保护数据变得越来越困难。 CIO是否准备好保护最重要的公司资产?如果数据是公司的生命之源,它如何保护它?
如果数据是企业的生命之源,它如何保护它? Michelle Finneran Dennedy在他的书《隐私工程师的宣言》中描述了信息时代保护数据的五个阶段:
火墙
2.网络
3.外联网
4.访问
5.情报
问题是,CIO在保护数据方面发挥了什么作用?
CIO应该专注于创建更安全的堡垒吗?或保护数据并设置谁可以访问它?
CIO中显然有两种截然不同的观点。有些人认为虽然堡垒是过去的心态,但它仍然非常重要。他们认为堡垒代表了第一道防线,但对进入和使用的限制需要成为整体计划的一部分。
这些CIO断言,如果您只想防止垃圾邮件流量和DDoS攻击,您不应该完全放弃自己的界限。他们认为边界非常重要。这些CIO认为,数据安全和访问权限是IT组织接下来需要做得更好的事情。他们继续说,虽然堡垒必须是坚不可摧的,但人为因素是保护公司安全的最薄弱环节。如果有人获得了员工的凭证,特别是如果他们有员工的电话并破解了较弱的密码,他们就可以控制多因素授权。这样就破坏了安全堡垒。
然而,其他CIO认为堡垒般的思维类似于“法国马其诺防线”。这些首席信息官表示堡垒式安全注定要失败。他们认为传统的安全模型就像蛋壳。从末端压制时它们很坚固,但它们通过挤压或拉伸而破碎。因此,他们认为历史要塞已经证明是失败的。
这些首席信息官表示,我们不应该停留在关注堡垒的阶段。尽管他们建议创建一个良好的外围安全环境,但他们还表示,重点需要转向基于模式和行为的安全性。他们建议IT领导者放弃当前的静态安全方法,并采取更积极和持续的评估阶段。这些CIO认为数据安全性与分类和使用特征有关。他们支持具有数据支持的应用程序的“设计安全性”。
这些首席信息官将身份和访问管理视为边境监护人。他们说,出于这个原因,通过了解访问层和外部入口点来理解数据非常重要。与此同时,他们认为现在是时候超越掌握数据的阶段了。他们说我们需要保护数据并通过适当的API将其提供给合适的人员。他们指出,您抓取的数据越多,数据就会越多。显然很难进行与数据相关的治理和网络安全。但这就是为什么它如此有趣和具有挑战性。这些首席信息官认为,我们都认识到没有办法让所有人都参与其中。因此,在不安全的环境中进行数据保护的关键是控制对具有访问凭证的人的访问。
鉴于此,适当管理风险非常重要。总的来说,CIO表示他们对不同级别的加密以及每个级别的安全警察/监督人员感到满意。此外,他们同意不同的用户 - 合作伙伴,用户或消费者 - 应具有不同级别的信任和数据参与规则。顺便说一句,一位CIO说他们听说过另一位CIO开始拆除防火墙以取代更复杂的解决方案。他们认为这样做是违法的,但这很有意思。
CIO可以通过监督终端来更好地保护数据吗?
首席信息官表示,采取零信任立场并认为一切都可能受到损害是非常重要的。他们认为以不适当的方式提取数据的能力,如BYOD,意味着目前的方法只能扩展到目前为止。在制定每项设计或战略决策时,您必须围绕可访问性和灵活性约束以及安全要求进行设计。
CIO们认为你不能忽视终端安全性。他们说他们需要不知疲倦地工作,但他们应该建立在你能负担得起的战略基础之上。他们说必须首先保护源数据,然后再回到传输和设备级别。 IT组织需要坚持终端安全基础(包括管理密码,将它们放在不同的VLAN上等),否则“监管”会变得更加昂贵,特别是对于小型组织。
首席信息官表示必须完成终端安全(以及传输中的加密)。查看SaaS和COTS以查看数据在终端上可以拥有的缓存/保存/保护应该是该过程的一部分。一位CIO认为传统监管影响不大,积极监管是一个更好的解决方案。一位CIO说,从最低权限开始,但始终确认流量。
其他CIO表示,除非100%的客户群,技术供应商和应用程序都在同一防火墙后面,否则监管终端本身不会阻止违规行为。您需要数字版权管理,加密和访问控制。但是,请注意您是否可以在屏幕上查看数据以及是否可以使用智能手机捕获数据。
首席信息官说,今天的大多数危害来自网络钓鱼和社会工程,而不是技术漏洞。因此,需要新的方法。首席信息官表示,终端战略不会阻止社会工程攻击。因此,通过加密保护的能力,聚合和改善风险的工具变得越来越重要。教育行业的一位CIO表示,它可能对用户设备有更多的控制权,但在高等教育中,大多数终端设备都是BYOD。因此,他们表示希望在访问级别进行保护。简而言之,首席信息官表示他们希望监督终端,但保护数据是分开的。CIO应如何实施数据治理以真正保护数据?
首席信息官表示,数据治理是其核心,而这可能是获得持久可行解决方案最困难的领域之一。但是,通过治理,可以设置对设计和架构工作的要求。
CIO们认为IT领导者必须了解他们的组织。他们需要能够定期评估组织的需求并处理变更。这涉及计划,执行和评估。首席信息官应该对领导力感到满意,以加强和改善治理和管理。他们还需要了解数据治理不是一次性事件,而是漫长的旅程。 CIO们认为公司必须拥有数据治理和管理权利。否则,CIO将失败。
开始对话的最佳方式是要求公司定义什么是关键,什么不是关键,以及他们希望IT保护实现多少。 IT组织不应该做出自己的决定。同样,CIO们表示,IT领导者应该让公司发挥良好的数据管理作用,并建立流程以实现良好的数据质量。 CIO可以通过提供智能数据分析来展示其价值。
在适当情况下优先考虑适当的清理过程通常是一种良好做法。 CIO们表示,除了清理已批准的业务流程外,还会删除社会安全号码,每年都要对其进行审核。他们建议IT领导者寻找优化旧流程的机会。同时,揭示数据问题,选择数据所有者,然后实施数据治理至关重要。
高等教育的CIO表示,治理的力量取决于行业文化。他们羡慕可以告诉用户他们能做什么和不能做什么的公司,以及他们能够和不能使用什么设备,但他们说这不是在高等教育中工作的方式。另一位首席信息官还表示,数据治理所有权是他们职业生涯中遇到的最大问题。他们说,不幸的是,如果你主持讨论,你最终可能会领导这个计划。 CIO需要计划让业务部门发挥领导作用,因为数据治理至关重要。
一般而言,CIO们表示数据治理讨论可能涉及许多技术术语。如果您想获得业务领导者的理解和支持,您需要避免这种情况。首席信息官表示,需要合适的人才来确定现有的和需要的东西。需要参与法律团队,记录管理,DBA,产品所有者和人力资源。首席信息官认为,建立一个了解数据和内容的信息治理专业人员非常重要,这可以指导组织完成识别和保护数据资产的过程。
首席信息官表示,数据检查非常重要,特别是如果领导层要求他们的数据库处于有序状态,因为有人可能会隐藏事物。考虑到这一点,CIO需要促进有关数据定义,类型和风险概况的业务对话。首席信息官需要对这些问题有基本了解的商业领袖。在这方面,一位CIO说了些惊人的话。他说,在许多行业中,很少有数据是专有的。有鉴于此,他说,关注需要保护的问题非常重要。 IT领导者应该记住,数据保护不仅仅是一个二进制文件。您需要考虑数据治理中的另一个行,字段,层次结构或上下文。
CIO们表示,可用性和便利性通常决定了行为模式。如果数据安全性太难,他们会说还有其他方法。确保数据所有者从一开始就是解决方案的一部分非常重要。对于一些CIO来说,迁移到云代表了一个让事情变得更好的机会。他们认为这是一个更全面地使用越来越多的安全和加密功能的机会。他们认为这也是通过设计创造更好的端到端安全性的机会。
与此同时,透明度也非常重要。许多组织发现数据保护问题而不报告它们。一位CIO愤怒地表示,在他们最近的每次安全审查中,他们发现IT部门在没有业务负责人知情的情况下无声地解决了一些漏洞。
如何保护隐私,CIO如何确保数据保护和设计?
CIO们说,作为数据治理的一部分,您经常需要围绕使用数据的系统和应用程序进行设计。你需要战略,良好的意识和培训才能有机会。一位CIO在这里说我们在美国有一个不错的隐私法。
CIO们坚持认为应该将隐私设计到应用程序体验中。虽然它是语义的,但GDPR独立于数据本身,并且与其使用,存储和可用性更相关。因此,隐私在方法,过程和技术中,而不在数据本身中。 CIO认为应用程序拥有安全模型非常重要。一位CIO表示他们很欣赏GDPR的意图和概念,但实施它们一直是一项挑战。它需要针对易于管理的任何新功能的解决方案设计。
首席信息官认为,从一个想法开始,不收集,如果你不需要它,并始终为用户提供查看和删除自己数据的方法是很重要的。显然,如果您没有大量数据,隐私是一种更易于管理的事情。与此同时,CIO们表示在应用程序设计中进行基于角色的设计非常重要。您需要将内部信任角色越来越多地转移到合作伙伴,然后转移到消费者或外部。困难的部分是确保您的合作伙伴的隐私与您自己的政策相结合。这可能涉及合同管理和与合作伙伴的审计。
同时,您不应忽视允许DBA持有所有密钥。黑客变得聪明,并开始对这些人进行社会攻击。默认情况下,我们需要使用安全框架来改变数据保护和隐私的思维模式。简而言之,如果您不需要它,请不要收集/保存它。并分享关于“为什么”的开放和持久的知识。
上海IT外包服务网 链接:http://www.linemore.com
中文
电话咨询
微信咨询
公众号
