如今，世界各國對數(shù)據(jù)的重視，以及我們對數(shù)據(jù)的認(rèn)識，都在不斷提升，數(shù)據(jù)在生產(chǎn)生活的比重越來越重，所謂數(shù)據(jù)就是財富：保護(hù)數(shù)據(jù)安全就是就是財富安全。

IBM一篇文章里提到，在過去一年，全球就有64%的公司面臨某種形式的網(wǎng)絡(luò)攻擊，每次攻擊的平均成本為 424萬美元，這是有記錄以來的最高水平。

現(xiàn)代企業(yè)必須確保其系統(tǒng)能夠抵抗未經(jīng)授權(quán)的訪問、阻止數(shù)據(jù)泄露并為所有者和用戶保持安全(同時仍可訪問)。來自不良行為者的攻擊在過去較少發(fā)生，但隨著當(dāng)今各種數(shù)字工具的出現(xiàn)，如果不加以保護(hù)和暴露，您的企業(yè)可能會成為目標(biāo)。

數(shù)據(jù)安全失敗會導(dǎo)致代價高昂的違規(guī)行為，這可能會損害公司的底線。探索什么是數(shù)據(jù)安全以及它如何保護(hù)組織和組織客戶的存儲信息。

什么是數(shù)據(jù)安全?

數(shù)據(jù)安全是保護(hù)敏感數(shù)字信息免遭不必要的訪問，無論是面對面的還是在線的。設(shè)備位置、安全軟件和組織實(shí)踐都有助于實(shí)現(xiàn)良好的數(shù)據(jù)安全。

需要注意的是，數(shù)據(jù)安全不同于數(shù)據(jù)保護(hù)(備份或復(fù)制存儲的數(shù)據(jù))和數(shù)據(jù)隱私(透明和合規(guī)地使用客戶數(shù)據(jù))。對于網(wǎng)絡(luò)安全團(tuán)隊，數(shù)據(jù)安全定義了任何保護(hù)措施，以限制攻擊者、員工或商業(yè)競爭對手對收集的信息的疏忽或惡意濫用。

綜合戰(zhàn)略涉及三個核心原則，稱為 CIA 三原則：機(jī)密性、完整性和可用性。

(1) 保密性

通過限制對受信任和經(jīng)過驗(yàn)證的方(例如員工或客戶)的訪問來保護(hù)數(shù)據(jù)。加密和訪問控是幫助組織保持機(jī)密性的兩種常用方法。

(2) 完整性

任何存儲數(shù)據(jù)的完整性是指其有效性。確保數(shù)據(jù)在任何時候都不會被篡改、降級或刪除。即使在寫入、發(fā)送、存儲或檢索時，也必須如此。數(shù)字簽名、不可擦除的審計跟蹤和定期備份都是組織保護(hù)系統(tǒng)數(shù)據(jù)完整性的技術(shù)措施。

(3) 可用性

授權(quán)用戶需要訪問受保護(hù)的服務(wù)并且應(yīng)該能夠修改其記錄。此外，整個生態(tài)系統(tǒng)中的不同軟件應(yīng)用程序需要訪問安全數(shù)據(jù)才能正確通信和交互。一流的數(shù)據(jù)安全性可將組織存儲的數(shù)據(jù)保留在手邊，而無需以犧牲完整性和機(jī)密性為代價。

為什么需要數(shù)據(jù)安全?

與恢復(fù)受損系統(tǒng)的初始成本相比，漏洞造成的損害可能更大。不良行為者可以竊取個人信息進(jìn)行身份盜竊、勒索和騷擾，從而改變生活。

歐洲已通過《通用數(shù)據(jù)保護(hù)條例》(GDPR)將數(shù)據(jù)安全納入法律，對未能保護(hù)收集到的數(shù)據(jù)的任何人處以嚴(yán)厲罰款。GDPR 還意味著要向歐洲實(shí)體提供數(shù)據(jù)服務(wù)，第三方必須證明數(shù)據(jù)安全和數(shù)據(jù)保護(hù)的合規(guī)水平。我國則頒布了《數(shù)據(jù)安全法》《數(shù)據(jù)安全審查辦法》等法律法規(guī)，規(guī)范數(shù)據(jù)安全。

數(shù)據(jù)安全正迅速成為在線保護(hù)的最低標(biāo)準(zhǔn)，并為采用者提供其他一些好處。

(1) 提高數(shù)據(jù)完整性

未受破壞的數(shù)據(jù)使組織能夠做出準(zhǔn)確的預(yù)測和戰(zhàn)略業(yè)務(wù)決策。此外，強(qiáng)大的數(shù)據(jù)完整性讓其和其客戶可以高枕無憂?？蛻糁浪麄兊膫€人信息受到良好的保護(hù)。當(dāng)組織從一開始就實(shí)施數(shù)據(jù)安全策略時，可以輕松擴(kuò)展自身業(yè)務(wù)，從而使自己在市場上比其實(shí)體更具優(yōu)勢。

(2) 保持完全合規(guī)

遵守當(dāng)?shù)財?shù)據(jù)安全規(guī)則，例如，國外企業(yè)在中國則需要遵守中國的相關(guān)法律法規(guī)，以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》為主;在歐洲的組織則需要遵循GDPR，到了美國加州，加州有消費(fèi)者隱私法等等，這點(diǎn)遵循入鄉(xiāng)隨俗，到什么山上唱什么歌了。這樣在這些區(qū)域內(nèi)進(jìn)行交易，才能更加穩(wěn)妥。當(dāng)監(jiān)管機(jī)構(gòu)在新地點(diǎn)執(zhí)行安全法律時，它還可以讓組織建立更加靈活的策略。

(3) 建立良好聲譽(yù)減少損失降低業(yè)務(wù)成本

對于各國都越來越關(guān)注數(shù)據(jù)安全的市場，保護(hù)客戶的詳細(xì)信息有助于提高客戶保留率，有助于推動新業(yè)務(wù)開展。與系統(tǒng)漏洞的成本相比，與適當(dāng)?shù)臄?shù)據(jù)安全相關(guān)的費(fèi)用是微不足道的。事實(shí)上，對于受數(shù)據(jù)泄露影響的小型企業(yè)，60% 的企業(yè)永遠(yuǎn)無法恢復(fù)并且經(jīng)常在一年內(nèi)倒閉。對于違規(guī)的財務(wù)影響(包括聲譽(yù)損害、停機(jī)時間、危機(jī)管理、訴訟成本和系統(tǒng)遷移)可能會破壞組織業(yè)務(wù)。

如何實(shí)施數(shù)據(jù)安全策略

一旦決定實(shí)施或升級數(shù)據(jù)安全性，組織應(yīng)該從哪里開始?

以下四步流程可以幫助任何階段的任何企業(yè)。畢竟，投資于數(shù)據(jù)安全永遠(yuǎn)不會太晚。

第 1 步：確定存在風(fēng)險的內(nèi)容

查看并列出組織用于開展業(yè)務(wù)的工具，包括物理設(shè)備、軟件、數(shù)據(jù)庫(包括數(shù)據(jù)本身)以及系統(tǒng)中的任何其他軟件。

此過程將以系統(tǒng)和數(shù)據(jù)的可見清單結(jié)束。接下來，確定組織在法律上需要保護(hù)的方面。確保組織以合規(guī)的方式存儲所有內(nèi)容。

然后，根據(jù)信息敏感性及其對業(yè)務(wù)的重要性對組織將保護(hù)的數(shù)據(jù)進(jìn)行分類。組織不太可能保護(hù)每一項資產(chǎn)。但是嘗試確保最能發(fā)揮作用的事情是值得的。

第 2 步：查看當(dāng)前的數(shù)據(jù)安全協(xié)議

目前是否有任何數(shù)據(jù)安全系統(tǒng)?做他們的工作?考慮進(jìn)行滲透測試以識別現(xiàn)有風(fēng)險并幫助衡量組織在任何升級后的成功。

請務(wù)必檢查系統(tǒng)流程是否合規(guī)。內(nèi)部或第三方審計可以突出高風(fēng)險領(lǐng)域，并讓組織解決可能增加風(fēng)險的潛在文化和教育差距。

物理上位于網(wǎng)絡(luò)邊緣的任何設(shè)備(臺式機(jī)、服務(wù)器或平板電腦)都被視為端點(diǎn)，并有遭受攻擊的風(fēng)險，位于異地時更是如此。端點(diǎn)保護(hù)是必不可少的，值得投資。

如果可能，最好刪除陳舊數(shù)據(jù)。組織應(yīng)該安裝一個清理程序或軟件來刪除大量過時、不需要或重復(fù)的數(shù)據(jù)。

第 3 步：組建數(shù)據(jù)安全團(tuán)隊

考慮建立自己的內(nèi)部安全團(tuán)隊。較小的企業(yè)可能會發(fā)現(xiàn)外包是一種更具成本效益的方式來訪問專家安全人員。盡可能將內(nèi)部知識與外部專業(yè)知識相結(jié)合。

確保組織對員工進(jìn)行合規(guī)性教育，因?yàn)榧词故亲詈玫南到y(tǒng)，人為錯誤也可能會導(dǎo)致失敗。為擁有系統(tǒng)訪問權(quán)限的每個人(包括領(lǐng)導(dǎo)層和外包人員)提供相同的培訓(xùn)，以減少員工失誤引發(fā)的問題。

繼續(xù)謹(jǐn)慎管理對組織系統(tǒng)的訪問權(quán)限，并刪除任何不需要或過時的配置文件。隨著工作流程轉(zhuǎn)向混合辦公空間，對遠(yuǎn)程工作的活躍用戶進(jìn)行身份驗(yàn)證。

組建團(tuán)隊后，請制定恢復(fù)計劃。這應(yīng)該指導(dǎo)工作人員在發(fā)生任何全系統(tǒng)災(zāi)難時的遏制方法。

第 4 步：更新數(shù)據(jù)安全方法

在確定公司范圍的安全需求后，組織可以使用多種軟件解決方案來實(shí)施策略：

• 身份驗(yàn)證和訪問管理軟件：確保只有授權(quán)用戶才能訪問系統(tǒng)。
• 加密軟件：加密會使數(shù)據(jù)對任何沒有正確解密密鑰的人無用。因此，它可以幫助組織抵御勒索軟件攻擊。
• 數(shù)據(jù)屏蔽軟件：數(shù)據(jù)屏蔽獲取敏感數(shù)據(jù)并在上方應(yīng)用占位符或屏蔽，以防止濫用(例如，阻止信用卡號碼顯示給查看者的星號)。
• 風(fēng)險評估軟件：安全服務(wù)提供商提供風(fēng)險評估工具，可幫助組織審核網(wǎng)絡(luò)和軟件安全性。

組織應(yīng)根據(jù)數(shù)據(jù)安全的框架，制定培訓(xùn)和學(xué)習(xí)內(nèi)容，做到安全合規(guī)。醫(yī)療保健、金融和電信等受行業(yè)監(jiān)管還有其他合規(guī)需求。每個行業(yè)都有自己的一套監(jiān)管要求，如果業(yè)務(wù)涉及到對應(yīng)行業(yè)需要根據(jù)其行業(yè)要求，確保組織保持合規(guī)。

未來安全是一個不斷變化的，為了保護(hù)數(shù)據(jù)的未來安全，組織擁有最新的軟件將有助于保護(hù)業(yè)務(wù)。如果沒有針對數(shù)據(jù)安全的主動措施，組織的業(yè)務(wù)和數(shù)據(jù)信息就會面臨風(fēng)險，需要根據(jù)實(shí)際情況調(diào)整組織的數(shù)據(jù)暴露情況，然后采取積極有效措施盡可能提高數(shù)據(jù)安全性。威脅不斷增加。采取行動加強(qiáng)安全態(tài)勢會有所作為。