保护数据变得越来越困难。CIO是否已经为保护重要的企业资产做好了准备?
如果数据是企业的生命之源,那么企业如何保护它。Michelle Finneran Dennedy在其著作《隐私工程师的宣言》中描述了信息时代保护数据的五个阶段:
1.防火墙
2.网络
3.外联网
4.访问
5.智能
问题是,在保护数据的过程中,CIO扮演什么角色?
CIO应该专注于创造更安全的堡垒吗?或者保护数据以及设置谁可以访问它?
在CIO中显然有两种截然不同的观点。有些人认为,虽然堡垒是过去的心态,但它仍然非常重要。他们认为堡垒代表了第一道防线,但对访问权和使用的限制需要成为整体方案的一部分。
这些首席信息官断言,如果只是为了防止垃圾流量和DDoS攻击,你不应该完全放弃你的界限。他们认为边界是非常重要的。这些CIO认为数据安全和访问权是IT组织需要下一步做得更好的事情。他们继续说,虽然要塞必须坚不可摧,但是人为因素是保护企业安全最薄弱的环节。如果有人获得了员工的凭证,特别是如果他们有了员工的电话并破解了安全性较弱的密码,他们就可以控制多重因素授权。这样安全堡垒就被攻破了。
然而,其他CIO认为堡垒式思维与“法国马其诺防线”类似。这些首席信息官表示堡垒式安全注定要失败。他们认为传统的安全模式就像蛋壳。从末端挤压时它们很坚固,但它们会因挤压或拉伸而破碎。由于这个原因,他们认为历史上的堡垒已被证明是失败的。
这些首席信息官表示我们不应该停留在关注堡垒的阶段。虽然他们建议要创造良好的周边安全环境,但他们同时表示,重点需要转向基于模式和行为的安全。他们建议IT领导者丢弃目前的静态安全方法,逐步向更加积极和持续评估的阶段发展。这些CIO认为数据安全与分类及使用特征有关。他们赞成有数据支持的应用程序的“设计安全”。
这些CIO将身份和访问管理视为边界守护者。他们表示,出于这个原因,通过了解访问层和外部入口点来保护数据非常重要。与此同时,他们认为现在是时候超越抓住数据牢牢不放的阶段了。他们说,我们需要在保护数据的同时,使其通过适当的API提供给适当的人。他们指出如果你对数据抓得越紧,数据将会溜走得越多。
做好与数据相关的治理和网络安全显然很难。但这就是它如此有趣和具有挑战性的原因。这些首席信息官认为我们都承认没有办法把所有人隔在外面。因此,在不安全的环境中做好数据保护,其关键是控制好具有访问凭据的人员的访问权限。
鉴于此,适当地管理风险非常重要。一般而言,首席信息官表示,他们对不同的层级加密方法以及每层的安全警察/监控人员感到满意。此外,他们同意不同的用户 - 合作伙伴,用户或消费者 - 应具有不同的信任级别和数据参与规则。顺便说一下,一位CIO说他们听说过另一位CIO开始拆除防火墙来替代更复杂的解决方案。他们认为这样做是违反常规的,但很有趣。
CIO可以通过监管终端来更好地保护数据吗?
首席信息官表示,采取零信任立场并拥有一切都可能受到损害的想法是很重要的。他们认为像BYOD一样,通过不恰当的方式提取数据的能力意味着目前的方法只能延伸到目前为止。在进行每个设计或策略决策时,你必须围绕可访问性和灵活性约束与安全性要求进行设计。
CIO们认为你不能忽视终端安全。他们说需要坚持不懈地努力,但应该建立在你能负担得起的战略基础之上。他们说首先要保护源头的数据,然后再回到传输和设备级别。IT组织需要坚守终端安全基础(覆盖管理密码,将它们放在不同的VLAN上等),但除此之外的“监管”可能会变得更加昂贵,尤其是对于较小的组织来说。
首席信息官表示,终端安全(以及传输中的加密)是必须要做到的。审核SaaS和COTS以查看数据在终端上可以拥有的缓存/保存/保护应该是该过程的一部分。一位CIO认为传统的监管收效甚微,主动监管是一种更好的解决方案。一位首席信息官表示,从最低权限开始,但始终要确认流量的多少。
其他CIO表示,除非100%的客户群,技术供应商和应用程序都在同一防火墙后面,否则监管终端本身不会阻止违规行为。你需要数字权限管理,加密和访问控制。但是,要清楚是否可以在屏幕上查看数据,是否可以使用智能手机捕获数据。
首席信息官表示,如今大多数危害都来自网络钓鱼和社交工程,而非技术漏洞。因此,需要新的方法。首席信息官表示,终端策略不会阻止社交工程攻击。因此,,通过加密进行保护的能力,聚合和改进风险的工具变得越来越重要。一位教育行业的CIO表示,可能对用户设备进行更多控制,但在高等教育中,大多数终端设备都是BYOD。因此,他们表示要在访问层进行保护。总之,CIO们说要监管终端,但保护数据是与此分开的。
CIO应该如何实现数据治理以真正保护数据?
CIO们表示,数据治理是其中的核心,这可能是获得持久可行解决方案的最困难的领域之一。然而,通过治理,可以设置设计和架构工作的要求。
CIO们认为,IT领导者必须了解他们的组织。他们需要拥有定期评估组织的需求和处理变化的能力。这涉及计划,执行和评估。首席信息官应该为领导加强和改善治理和管理而高兴。他们还需要明白数据治理不是一朝一夕的事情,而是一个漫长的旅程。CIO们认为企业必须拥有数据治理和管理权。否则,CIO将遭遇失败。
开始对话的最佳方式是要求企业定义哪些是关键,哪些不是关键,以及他们希望IT保护所能达到的程度。IT组织不应该自己做出决定。同样,CIO们表示,IT领导者应该让企业扮演好数据管理角色并构建流程以获得良好的数据质量。CIO可以通过提供数据智能分析来彰显其价值。
在适当的情况下,优先适当地清理进程通常是一个很好的做法。首席信息官们表示,除了清理批准的业务流程外,还要删除社交安全号码,这些应该每年进行审核。他们建议IT领导者寻找优化旧流程的机会。同时,揭示数据问题,选择数据所有者,然后实施数据治理至关重要。
一位在高等教育领域的CIO表示,治理的力量取决于行业文化。他们羡慕那些可以告诉用户他们能做什么和不能做什么,以及他们能够和不能使用什么设备的企业,但是他们说,这不是高等教育中的工作方式。另一位首席信息官同时表示,数据治理所有权是他们在其职业生涯中遇到的最大问题。他们说,不幸的是,如果你主持讨论,你最终可能会领导这项计划。CIO需要制定计划,让业务部门发挥领导作用,因为数据治理至关重要。
一般来说,CIO们表示数据治理讨论可能涉及很多技术术语。如果希望获得业务领导者的理解和支持,则需要避免这种情况。首席信息官表示,需要合适的人员来确定存在什么以及需要什么。法律团队,记录管理,DBA,产品所有者和HR需要参与其中。首席信息官认为,确立一个了解数据和内容的信息治理专业人员非常重要,这可以引导组织完成识别和保护数据资产的过程。
首席信息官表示,数据检查非常重要,特别是在如果领导层要求他们的数据库处于有序状态时,因为有人可能会把东西藏起来。鉴于此,CIO需要促进有关数据定义,类型和风险概况的业务对话。首席信息官需要对这些问题有基本了解的商业领袖。
关于这一点,一位CIO说了一些令人惊讶的事情。他表示,在许多行业中,很少有数据是专有的。鉴于此,他表示将业务重点放在需要保障的事项上非常重要。IT领导者应该记住,数据保护不仅是二进制文件。需要时刻在数据治理中考虑另一行,字段,层次结构或使用上下文等这些因素。
CIO们表示可用性和便利性往往决定着行为模式。如果数据安全太难,他们说会出现其他方法。确保数据所有者从一开始就是解决方案的一部分非常重要。对于一些CIO来说,迁移到云代表了一个让事情变得更好的机会。他们认为这是一个机会,可以更全面地使用越来越多的安全和加密功能。他们认为这也是一个通过设计创建更好的端到端安全的机会。
同时,透明的过程也很重要。许多组织发现数据保护问题而不报告它们。一位首席信息官愤怒地表示,在最近他们所做的每一次安全审查中,他们发现一些漏洞在业务领导不知情的情况下被IT部门默默地解决了。
如何保护隐私,CIO如何确保对数据进行保护和设计?
CIO们表示,作为数据治理的一部分,你经常需要围绕使用数据的系统和应用程序进行设计。你需要策略,良好的意识和培训才能有机会。一位CIO在这里说,只要我们在美国拥有体面的隐私法。
CIO们坚持认为隐私应该被设计到应用程序体验中。虽然它是语义上的,但GDPR独立于数据本身,并且与其使用,存储和可用性更相关。因此,隐私在方法,流程和技术中,而不在数据本身中。CIO们认为应用程序具有安全模式非常重要。一位CIO表示他们很欣赏GDPR的意图和概念,但实施它们一直是一项挑战。它要求任何新功能的解决方案设计易于管理。
CIO们认为,重要的是从一种理念开始,如果不需要,就不要收集,并始终为用户提供查看和删除自己数据的方法。显然,如果你没有大量的数据,隐私是一种更易于管理的事情。与此同时,CIO们表示,在应用程序设计中做好基于角色的设计是很重要的。你需要越来越多地将内部可信任角色转移到合作伙伴,然后转移到消费者或外部。困难的部分是确保你的合作伙伴的隐私与你自己的政策相结合。这可能涉及与合作伙伴进行合同管理和审计。
同时,你不应该疏忽大意而允许DBA持有所有密钥。黑客已经变得聪明,并开始针对这些人进行社会攻击。我们需要在默认情况下使用安全框架来改变数据保护和隐私的思维模式。总之,如果你不需要,请不要收集/保存它。并分享公开和持久收集关于“为什么”的知识。
哪10件事应该立即成为CIO的数据保护投资清单?
首席信息官的数据保护清单上有很多条,以下是其中最重要的10条:
1. 员工教育和培训
2. 对数据进行盘点和审核,了解如何访问数据以及评估风险
3. 高管支持和所有权
4. 卓有成效的内部沟通
5. 评估哪些方面运作良好,包括治理,政策和团队成员技能
6. 治理主管,负责整合和应用正在进行的变更和风险
7. 关注外部隐私
8. 用于汇总风险以缩小响应和支出重点的出色工具
9. 保护数据的出色工具(数据加密,网络模式分析,设备保护,威胁检测,网络边缘的恶意软件清除,终端保护,多因素登录等)
10. 为你的员工提供安全的编码培训以及零信任态度
首席信息官明确表示需要通过优秀的人员,流程和技术来保护数据。他们意识到他们不能单靠自己做到这一点。这需要一个包括商业领袖和所有员工在内的良好的环境和文化。做到这些以及良好的政策和治理,IT组织可以帮助他们的企业在越来越不安全的环境中更好地保护数据。