隨著網(wǎng)絡(luò)攻擊面的擴(kuò)大、供應(yīng)鏈攻擊的頻繁發(fā)生以及向云的轉(zhuǎn)移，數(shù)據(jù)安全比以往任何時(shí)候都更加重要。根據(jù)IBM Security 發(fā)布的2023 年數(shù)據(jù)泄露成本報(bào)告， 2023 年全球數(shù)據(jù)泄露平均成本達(dá)到 445 萬美元，創(chuàng)下歷史新高。

在本文中，您將了解數(shù)據(jù)安全的主要原則，并了解適用于大多數(shù)行業(yè)的 10 種數(shù)據(jù)安全最佳實(shí)踐。

數(shù)據(jù)威脅和維護(hù)數(shù)據(jù)安全的好處 

什么是數(shù)據(jù)安全？ 

數(shù)據(jù)安全是旨在保護(hù)組織敏感資產(chǎn)的流程和工具的組合。有價(jià)值的數(shù)據(jù)在靜態(tài)和傳輸過程中都必須受到保護(hù)。安全官員應(yīng)考慮的數(shù)據(jù)安全的其他方面是安全的數(shù)據(jù)創(chuàng)建和使用。

10 個(gè)數(shù)據(jù)安全最佳實(shí)踐：保護(hù)數(shù)據(jù)的簡單方法

有效的數(shù)據(jù)安全措施包括實(shí)施實(shí)時(shí)監(jiān)控并對(duì)任何可疑事件快速做出反應(yīng)，使您的數(shù)據(jù)能夠抵御欺詐活動(dòng)。

為什么數(shù)據(jù)安全如此重要以至于當(dāng)局和監(jiān)管機(jī)構(gòu)不斷提出新的數(shù)據(jù)安全要求？

強(qiáng)大的數(shù)據(jù)安全性的主要好處

讓我們看一下組織中高級(jí)數(shù)據(jù)安全性的主要優(yōu)勢(shì)：

1. 保護(hù)信息— 了解您的信息受到保護(hù)，免受內(nèi)部和外部威脅，可以讓您高枕無憂。因此，您將有更多時(shí)間專注于業(yè)務(wù)策略，而不必?fù)?dān)心數(shù)據(jù)泄漏。2. 增強(qiáng)聲譽(yù)——尋求長期合作的組織和企業(yè)總是密切關(guān)注潛在合作伙伴的聲譽(yù)。應(yīng)用可靠的數(shù)據(jù)保護(hù)實(shí)踐還可以激發(fā)客戶的信任。

3. 遵守?cái)?shù)據(jù)安全要求——實(shí)施適當(dāng)?shù)陌踩胧┛梢源_保遵守?cái)?shù)據(jù)安全要求。這將幫助您的組織避免因違規(guī)而遭受巨額罰款。

4. 減少訴訟 費(fèi)用——預(yù)防事件發(fā)生總是比處理事件后果更具成本效益。您在數(shù)據(jù)安全上花費(fèi)的時(shí)間和精力越多，用于控制潛在事件并從中恢復(fù)的費(fèi)用就越少。

5. 增強(qiáng)業(yè)務(wù)連續(xù)性——強(qiáng)大的數(shù)據(jù)安全實(shí)踐有助于不間斷運(yùn)營，降低業(yè)務(wù)中斷的風(fēng)險(xiǎn)，從而降低收入損失。

哪些數(shù)據(jù)需要保護(hù)？

要了解哪些數(shù)據(jù)面臨風(fēng)險(xiǎn)，我們首先看一下最常被盜的數(shù)據(jù)類型：

您組織的敏感數(shù)據(jù)必須根據(jù)您所在行業(yè)和司法管轄區(qū)的相關(guān)法律法規(guī)進(jìn)行保護(hù)。

在下表中，您可以看到一些最常被泄露的敏感數(shù)據(jù)類型以及管理其保護(hù)的法律、標(biāo)準(zhǔn)和法規(guī)：

需要考慮的其他 IT 標(biāo)準(zhǔn)包括NIST 800-53、NIST 800-171和ISO 27000 系列。

企業(yè)數(shù)據(jù)面臨的主要威脅

沒有任何系統(tǒng)能夠 100% 免受錯(cuò)誤配置、內(nèi)部威脅和網(wǎng)絡(luò)攻擊的影響。組織的敏感數(shù)據(jù)可能會(huì)丟失、損壞或被錯(cuò)誤的人獲取。

以下是組織的數(shù)據(jù)或系統(tǒng)可能面臨的主要威脅：

在本文中，我們重點(diǎn)關(guān)注內(nèi)部人為威脅，因?yàn)樯踔猎S多外部網(wǎng)絡(luò)攻擊也可能僅由于員工的行為而發(fā)生——根據(jù)Verizon 的2023 年數(shù)據(jù)泄露調(diào)查報(bào)告， 74% 的數(shù)據(jù)泄露都包含人為因素。

為了了解數(shù)據(jù)如何被泄露，讓我們回顧一下內(nèi)部人員造成的數(shù)據(jù)泄露的幾個(gè)例子：

• 人為錯(cuò)誤和疏忽——合法用戶可能由于網(wǎng)絡(luò)安全方面的疏忽、注意力不集中、疲勞和其他人為因素而犯下各種錯(cuò)誤。

2021 年春季，達(dá)拉斯警察局的一名員工意外刪除了超過 800 萬個(gè)文件。該數(shù)據(jù)對(duì)于 17,000 多起暴力案件至關(guān)重要。被刪除的信息包括 23 TB 的音頻、視頻、照片和案例說明。

• 惡意內(nèi)部人員——內(nèi)部用戶可能為了自身利益而故意竊取、損壞或銷毀組織的數(shù)據(jù)。

2021年1月，賓夕法尼亞州Elliott Greenleaf律師事務(wù)所的四名律師竊取了他們公司的大量文件。經(jīng)過四個(gè)月的周密規(guī)劃，數(shù)據(jù)已轉(zhuǎn)移到他們的云帳戶中。被盜數(shù)據(jù)包含該公司的工作產(chǎn)品、記錄、信件、訴狀和客戶群。

• 權(quán)限濫用——具有提升權(quán)限的用戶可能會(huì)進(jìn)行各種類型的敏感數(shù)據(jù)濫用或不當(dāng)數(shù)據(jù)處理。

2021 年 4 月，Proofpoint 的一名銷售主管將公司數(shù)據(jù)上傳到他的 USB 拇指驅(qū)動(dòng)器，并據(jù)稱將被盜數(shù)據(jù)轉(zhuǎn)移給該公司的競爭對(duì)手 Abnormal Security。這些數(shù)據(jù)包括重要的貿(mào)易信息和競爭策略。

• 第三方威脅— 數(shù)據(jù)安全威脅可能來自有權(quán)訪問組織敏感數(shù)據(jù)的合作伙伴、供應(yīng)商和分包商。第三方也可以成為外部攻擊者的中間人，就像在某些供應(yīng)鏈攻擊中一樣。

2021 年 5 月，沙特阿美公司 1 TB 的數(shù)據(jù)因受影響的第三方供應(yīng)商而泄露。攻擊者索要 5000 萬美元的贖金以換取被盜數(shù)據(jù)。

上述所有威脅都可能危及您的敏感數(shù)據(jù)并擾亂您的業(yè)務(wù)運(yùn)營：

但是，如果您及時(shí)發(fā)現(xiàn)并響應(yīng)數(shù)據(jù)安全威脅，則可以有效減輕其后果。

如何保護(hù)組織的敏感數(shù)據(jù)？

為了回答這個(gè)問題，我們來看看保護(hù)數(shù)據(jù)的關(guān)鍵方法。根據(jù)Gartner 的說法，保護(hù)數(shù)據(jù)的四種主要方法是：

1. 加密——防止未經(jīng)授權(quán)的人員讀取您的數(shù)據(jù)。

2. 屏蔽——通過用隨機(jī)字符替換敏感信息來抑制或匿名化高價(jià)值數(shù)據(jù)。您還可以用低價(jià)值的代表代幣替換數(shù)據(jù)；這種方法稱為標(biāo)記化。

3. 數(shù)據(jù)擦除——涉及清理不再使用或不再活動(dòng)的數(shù)據(jù)存儲(chǔ)庫。

4. 數(shù)據(jù)彈性 —涉及關(guān)鍵數(shù)據(jù)的完整備份、差異備份和增量備份。將有價(jià)值的數(shù)據(jù)存儲(chǔ)在不同位置有助于使其可恢復(fù)并能夠抵御不同的網(wǎng)絡(luò)安全威脅。

現(xiàn)在，是時(shí)候研究強(qiáng)大的數(shù)據(jù)安全背后的基本原則了。

核心數(shù)據(jù)安全原則和控制

機(jī)密性、完整性和可用性構(gòu)成了CIA 三要素，這對(duì)于確保強(qiáng)大的數(shù)據(jù)保護(hù)至關(guān)重要：

保密性——保護(hù)數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問。

完整性——數(shù)據(jù)可靠且正確，敏感信息受到保護(hù)，防止非法更改。

可用性——所有合法用戶都可以輕松訪問數(shù)據(jù)。

為了遵守這三個(gè)原則，組織需要稱為數(shù)據(jù)安全控制的實(shí)用機(jī)制。這些是預(yù)防、檢測(cè)和響應(yīng)威脅您寶貴資產(chǎn)的安全風(fēng)險(xiǎn)的對(duì)策。

我們下面的 10 項(xiàng)數(shù)據(jù)安全最佳實(shí)踐涵蓋了這些控制措施以及數(shù)據(jù)安全標(biāo)準(zhǔn)、法律和法規(guī)的主要合規(guī)性要求。

適合您組織的 10 大數(shù)據(jù)安全最佳實(shí)踐

雖然不同的企業(yè)、地區(qū)和行業(yè)可能需要不同的數(shù)據(jù)保護(hù)實(shí)踐，但我們選擇了適合大多數(shù)組織的最佳實(shí)踐。如果您想知道如何確保組織的數(shù)據(jù)安全，請(qǐng)遵循以下十大數(shù)據(jù)保護(hù)最佳實(shí)踐。

現(xiàn)在，讓我們?cè)敿?xì)討論每種數(shù)據(jù)保護(hù)技術(shù)。

1. 定義您的敏感數(shù)據(jù)

在實(shí)施安全措施之前考慮檢查您的數(shù)據(jù)：

首先，評(píng)估數(shù)據(jù)的敏感性。數(shù)據(jù)敏感度分為三個(gè)級(jí)別：

低敏感度數(shù)據(jù)——公眾可以安全地查看或使用，例如網(wǎng)站上發(fā)布的一般信息。

中等敏感度數(shù)據(jù)——可以在組織內(nèi)部共享，但不能與公眾共享。如果發(fā)生數(shù)據(jù)泄露，不會(huì)造成災(zāi)難性后果。

高度敏感的數(shù)據(jù)——只能與有限的內(nèi)部人員共享。如果受到損害或破壞，可能會(huì)對(duì)組織產(chǎn)生災(zāi)難性影響。

檢查您的數(shù)據(jù)可見性級(jí)別。您是否始終可以查看或查看與您的敏感數(shù)據(jù)相關(guān)的所有操作？如果沒有，請(qǐng)多注意做法 6、8 和 10。

遵守這些做法可以幫助您確定優(yōu)先順序并專注于最需要保護(hù)的信息。

2. 制定網(wǎng)絡(luò)安全政策

第二項(xiàng)任務(wù)是組織所有網(wǎng)絡(luò)安全機(jī)制、活動(dòng)和控制措施以形成工作策略。通過實(shí)施數(shù)據(jù)安全策略，使您組織的人力和技術(shù)資源有效支持您的數(shù)據(jù)安全工作：

為您的數(shù)據(jù)使用政策創(chuàng)建管理組織敏感數(shù)據(jù)的規(guī)則。它應(yīng)包含員工、利益相關(guān)者和第三方處理數(shù)據(jù)時(shí)的指南。

對(duì)數(shù)據(jù)實(shí)施基于風(fēng)險(xiǎn)的方法。評(píng)估與組織中數(shù)據(jù)使用相關(guān)的所有風(fēng)險(xiǎn)以及數(shù)據(jù)弱點(diǎn)。然后，首先關(guān)注最高的風(fēng)險(xiǎn)。

定期數(shù)據(jù)庫審計(jì)可幫助您了解當(dāng)前情況并為進(jìn)一步的數(shù)據(jù)防御設(shè)定明確的目標(biāo)。它們?cè)试S您跟蹤所有用戶操作并隨時(shí)查看詳細(xì)的元數(shù)據(jù)。

應(yīng)用適當(dāng)?shù)难a(bǔ)丁管理策略。這是修補(bǔ)公司環(huán)境內(nèi)或代碼中的漏洞的步驟和規(guī)則列表。定期進(jìn)行補(bǔ)丁并相應(yīng)地記錄所有操作。 

徹底解雇員工，從監(jiān)控和記錄員工對(duì)關(guān)鍵資產(chǎn)的活動(dòng)和操作，到完全撤銷訪問權(quán)限。 

此外，考慮任命一名數(shù)據(jù)保護(hù)官(DPO)，他將： 

• 控制數(shù)據(jù)安全要求的合規(guī)性 
• 就數(shù)據(jù)保護(hù)措施提出建議 
• 處理員工、提供商和客戶之間與安全相關(guān)的投訴 
• 處理安全故障 

3. 制定事件響應(yīng)計(jì)劃 

事件響應(yīng)計(jì)劃規(guī)定了及時(shí)處理網(wǎng)絡(luò)安全事件并減輕其后果的行動(dòng)。您可以參考HIPAA、NIST 800-53、PCI DSS以及其他設(shè)定事件響應(yīng)要求的標(biāo)準(zhǔn)、法律和法規(guī)。不要忘記： 

• 定義 安全事件、它們的變化以及它們對(duì)您的組織造成的后果的嚴(yán)重性 
• 選擇 負(fù)責(zé)處理事件的人員 
• 進(jìn)行 安全審核，根據(jù)以前的事件改進(jìn)您的計(jì)劃，并列出您的組織可能面臨的事件的擴(kuò)展列表 
• 制定 溝通計(jì)劃以及發(fā)生事件時(shí)應(yīng)通知的當(dāng)局列表 

此外，創(chuàng)建數(shù)據(jù)恢復(fù)計(jì)劃以確保您的數(shù)據(jù)和系統(tǒng)可以在可能的事件發(fā)生后快速恢復(fù)。 

4. 確保數(shù)據(jù)存儲(chǔ)安全 

在實(shí)施其他數(shù)據(jù)保護(hù)實(shí)踐之前，請(qǐng)確保數(shù)據(jù)在各個(gè)級(jí)別都安全存儲(chǔ)：

小心存儲(chǔ)包含數(shù)據(jù)的物理介質(zhì)。使用防水和防火的存儲(chǔ)介質(zhì)很重要。此外，使用鎖閂鋼門和保安裝置保護(hù)您的數(shù)據(jù)。 

此外，請(qǐng)?zhí)貏e注意如何借助現(xiàn)代技術(shù)保護(hù)數(shù)據(jù)。我們已經(jīng)討論過備份、加密、屏蔽和確認(rèn)擦除作為安全存儲(chǔ)文件的四種主要數(shù)據(jù)安全方法。 

考慮部署USB 設(shè)備管理工具來保護(hù)設(shè)備上存儲(chǔ)的所有數(shù)據(jù)。保護(hù)移動(dòng)設(shè)備上的信息和通過可移動(dòng)存儲(chǔ)設(shè)備共享的數(shù)據(jù)。不要忘記能夠?qū)Π舾袛?shù)據(jù)的設(shè)備上的可疑活動(dòng)提供可見性和通知的解決方案。 

5. 限制對(duì)關(guān)鍵資產(chǎn)的訪問 

以徹底保護(hù)數(shù)據(jù)訪問為出發(fā)點(diǎn)：

物理訪問 控制通過數(shù)據(jù)庫的鎖定和回收、視頻監(jiān)控、各種類型的報(bào)警系統(tǒng)和網(wǎng)絡(luò)隔離來保護(hù)對(duì)數(shù)據(jù)服務(wù)器的訪問。他們還應(yīng)確保從移動(dòng)設(shè)備和筆記本電腦連接到服務(wù)器、計(jì)算機(jī)和其他資產(chǎn)的安全訪問。 

控制所有數(shù)據(jù)訪問點(diǎn)，并通過生物識(shí)別和多因素身份驗(yàn)證實(shí)現(xiàn)高效的身份管理。密碼管理可幫助您自動(dòng)創(chuàng)建和輪換密碼，并提高入口點(diǎn)的安全性。 

您還可以通過采用最小特權(quán)或即時(shí)特權(quán)訪問管理 (JIT PAM)原則來降低內(nèi)部風(fēng)險(xiǎn)，該原則為在有限時(shí)間內(nèi)真正需要特定任務(wù)的用戶提供特權(quán)訪問權(quán)限。 

不要忘記從任何設(shè)備和端點(diǎn)安全地訪問最關(guān)鍵的數(shù)據(jù)。遠(yuǎn)程工作和混合工作模式的持續(xù)趨勢(shì)導(dǎo)致對(duì)安全訪問管理解決方案的需求不斷增加。

6.持續(xù)監(jiān)控用戶活動(dòng)

考慮使用用戶活動(dòng)監(jiān)控(UAM) 解決方案來增強(qiáng)組織的可見性。對(duì)所有有權(quán)訪問敏感信息的員工進(jìn)行全面實(shí)時(shí)監(jiān)控還可能包括：

隨時(shí)查看與敏感數(shù)據(jù)相關(guān)的任何用戶會(huì)話并接收有關(guān)異常用戶活動(dòng)的警報(bào)的能力可以幫助您保護(hù)與關(guān)鍵資產(chǎn)的交互。這樣，您將有更大的機(jī)會(huì)避免代價(jià)高昂的數(shù)據(jù)泄露。 

7. 管理第三方相關(guān)風(fēng)險(xiǎn) 

監(jiān)控 IT 基礎(chǔ)設(shè)施內(nèi)第三方用戶的行為至關(guān)重要。第三方可能包括合作伙伴、分包商、供應(yīng)商、供應(yīng)商以及有權(quán)訪問您的關(guān)鍵系統(tǒng)的任何其他外部用戶。即使您信任第三方，他們的系統(tǒng)也有可能容易受到黑客攻擊和供應(yīng)鏈攻擊。 

除了監(jiān)控第三方供應(yīng)商在本地和云端的會(huì)話之外： 

• 確保 您清楚地了解第三方環(huán)境，并定義控制和處理數(shù)據(jù)的工作人員 
• 與第三方服務(wù)提供商簽署服務(wù)級(jí)別協(xié)議（SLA） 
• 要求定期問責(zé)，以確保維持?jǐn)?shù)據(jù)安全標(biāo)準(zhǔn) 
• 與您的供應(yīng)商合作提高共同安全

8.特別關(guān)注特權(quán)用戶

請(qǐng)記住，特權(quán)用戶擁有更高的權(quán)限來訪問和更改組織的敏感數(shù)據(jù)。特權(quán)帳戶和會(huì)話管理 (PASM)功能用于完全控制特權(quán)帳戶的訪問以及監(jiān)視、記錄和審核特權(quán)帳戶的會(huì)話。

考慮實(shí)施五個(gè)核心 PASM 功能：

10 個(gè)數(shù)據(jù)安全最佳實(shí)踐：保護(hù)數(shù)據(jù)的簡單方法

特權(quán)帳戶可能會(huì)因數(shù)據(jù)處理不當(dāng)、特權(quán)濫用或數(shù)據(jù)誤用事件而構(gòu)成最大的內(nèi)部威脅。但簡單的解決方案和嚴(yán)格的控制可以減輕大部分風(fēng)險(xiǎn)。

9. 對(duì)所有員工進(jìn)行數(shù)據(jù)安全風(fēng)險(xiǎn)教育

教育您的員工如何安全地處理公司資產(chǎn)以及如何識(shí)別惡意軟件和社交工程嘗試非常重要。

不要忘記提供新的培訓(xùn)，以提供有關(guān)最新數(shù)據(jù)威脅形勢(shì)的最新信息。另外，考慮為新員工提供入門培訓(xùn)。定期對(duì)員工和學(xué)員進(jìn)行教育至關(guān)重要。

10 個(gè)數(shù)據(jù)安全最佳實(shí)踐：保護(hù)數(shù)據(jù)的簡單方法

根據(jù)以人為本的數(shù)據(jù)安全方法，員工在威脅緩解過程中發(fā)揮著重要作用。知識(shí)可以顯著減少與人員相關(guān)的數(shù)據(jù)泄露，并使安全措施對(duì)您的員工更加明顯。

10.部署專用數(shù)據(jù)安全軟件

考慮部署專門的數(shù)據(jù)保護(hù)解決方案來控制敏感數(shù)據(jù)的安全。實(shí)施安全軟件時(shí)，優(yōu)先考慮具有以下功能的解決方案：

• 用戶活動(dòng)監(jiān)控 
• 自動(dòng)訪問管理 
• 安全事件通知 
• 審計(jì)和報(bào)告 
• 密碼管理 

此外，您可能需要確保從一處查看各種類型的設(shè)備和端點(diǎn)。部署太多不同的工具和解決方案并不總是有效，因?yàn)樗鼤?huì)減慢 IT 和安全管理流程、增加開支并使維護(hù)復(fù)雜化。 

結(jié)論

數(shù)據(jù)安全旨在保護(hù)數(shù)據(jù)在創(chuàng)建、存儲(chǔ)、管理和傳輸過程中的安全。內(nèi)部人員可能會(huì)故意違反安全規(guī)則、數(shù)據(jù)處理不當(dāng)或帳戶遭到泄露，從而給組織的數(shù)據(jù)帶來風(fēng)險(xiǎn)。

本文翻譯自：https://www.ekransystem.com/en/blog/data-security-best-practices如若轉(zhuǎn)載，請(qǐng)注明原文地址