數據泄露事件屢屢見諸報端，因此客戶和企業(yè)領導者都可能擔心他們的企業(yè)在客戶的個人身份信息 (PII) 保護方面做得不夠。在當今混亂的經濟環(huán)境中，威脅格局堪憂，企業(yè)可以采用哪些方法來更好地保護增加的 PII 數據流呢？

在一些情況下，企業(yè)無法正確地存儲數據。還有一些情況，企業(yè)沒有采取充分的措施。數據泄露的后果遠遠不止金錢損失。數據泄露對組織聲譽和客戶信心的損害還可能會損害企業(yè)利潤。更復雜的是，許多組織經常會出于營銷或其他目的與其他公司共享用戶數據，進而引發(fā)更多 PII 泄露的“完美風暴”。

為什么如此難以保護 PII 的安全？

PII 是指可用于識別特定個人的任何數據。常見的 PII 數據包括電話號碼、社保編號、郵箱地址和家庭住址。隨著技術的采用，PII 的范圍已大幅擴展，包括登錄 ID、IP 地址、數字圖像等，甚至包括社交媒體貼文。生物特征識別數據、行為數據和地理位置數據等其他數據也可以歸類為 PII。

無論您的組織屬于哪個行業(yè)，即便不屬于醫(yī)療保健和金融行業(yè)，保護客戶 PII 的安全都至關重要。那么，企業(yè)應如何存儲私有數據？

密碼相關問題

在與安全專家 Frank Abagnale 交談時，他給出的建議是：用戶名+密碼的身份驗證方法已經過時，這也是造成安全泄露事件的最大因素。隨著復雜性層次的增加，用戶只會感到沮喪和不滿。

Abagnale 建議舍棄將密碼作為安全機制的做法，來加強身份識別和訪問管理（IAM）。類似借助安全哈希算法和其他加密技術來存儲密碼的風險減緩解決方案，在短期內可能會有所幫助。但您依然很容易遭受暴力破解、字典攻擊和彩虹攻擊等類型的攻擊。此外，在使用密碼訪問 PII 時，您的公司依然很容易遭受網絡釣魚電子郵件的攻擊。

未來，PII 保護可能會受益于當前在用戶手機上執(zhí)行身份驗證所用的類似技術，比如在手機上部署加密密鑰。

PII 保護最佳實踐

密碼和身份驗證方法在短時期內不會有太大改變。在業(yè)務部門做好迎接劇烈的思維轉變、適應新做法的準備之前，我們仍舊需要充分發(fā)掘現有資源的潛力。

對于希望高效保護 PII 安全的企業(yè)而言，可以采取以下六個步驟：

1. 識別保護對象及其存儲位置 

保護 PII 安全的第一步是要充分了解要收集的 PII 以及它們的存儲位置。您還應確定數據是否得到了正確收集，以及是否采取了適當的安全措施。

2. 明確合規(guī)性法規(guī)

不同的行業(yè)需要遵守有關如何治理 PII 收集、存儲、處理和傳輸的特定合規(guī)性法律和法規(guī)。這些法規(guī)也可能與客戶數據或其存儲位置有關，而不是特定于您的行業(yè)。

您的行業(yè)可能需要遵守下列一項或多項通用法規(guī)：

· 通用數據保護條例 (GDPR)

· 醫(yī)療保險可攜性和責任法案 (HIPAA)

· 個人信息保護和電子文檔法案 (PIPEDA)

· 支付卡行業(yè)數據安全標準 (PCI DSS)

3. 進行 PII 風險評估

若要確定安全戰(zhàn)略中的任何漏洞或弱點，您必須明確以下幾點：

· 為確保監(jiān)管合規(guī)而采取的措施

· 在不受監(jiān)管的 PII 方面存在著哪些聲譽、運營和安全風險？

· 從最可能發(fā)生到最不可能發(fā)生的威脅源列表

· 風險管理戰(zhàn)略

4. 安全刪除不必要的 PII

存儲業(yè)務不需要的 PII 可能會帶來安全風險。因此，您需要投入時間搜索這些數據并確定應從中刪除的內容。

此類數據可能包括：

· 不再與您有業(yè)務往來的客戶相關數據

· 已過期的員工記錄（即那些已從公司離職超過一年的員工相關記錄）

· 在未使用的設備上發(fā)現的 PII

5. PII 分類

PII 會具有不同級別的敏感性。舉例來說，信用卡數據比電子郵件列表更加敏感。因此，按照數據對機密性和隱私的影響對數據進行分類是保護 PII 的關鍵步驟之一。

6. 安全計劃和策略審查

千萬不要忽視對組織的安全計劃進行頻繁審核。這類實踐應包括對 PII 保護工具和解決方案進行分析。在數據隱私法律更新時，您的策略也可能需要更新來體現這些變化。安全策略應將來自國家技術研究所 (NIST) 框架、系統(tǒng)組織控制 (SOC) 2 或互聯(lián)網安全中心 (CIS) 控制等可信框架的最佳安全控制實踐納入其中。最后，您的策略應通過單獨的章節(jié)來明確定義 PII 相關安全意識培訓。

自上而下的組織意識

隨著 PII 相關威脅格局的快速加劇，公司必須確保其員工了解如何保護 PII 數據，并且了解當前威脅。

對于任何安全意識計劃來說，高層管理人員的支持都是關鍵要素之一。自上而下推行安全意識的組織文化，幾乎總是會得大于失。參加紅/藍隊類型活動的高層管理人員可以更好地掌握公司的盲點所在，也可以相應地制定 PII 保護計劃。目前尚不清楚什么會是推動實現積極變革的催化劑。隨著數據泄露事件的不斷發(fā)生，保護 PII 比以往任何時候都更為重要。

未來的發(fā)展趨勢會是什么？也許是采用不同的方法來存儲身份驗證數據，或者是利用我們可能還沒聽說過的AI 和技術，提升組織意識，又或者只是遵循此處所述的某些步驟。對于任何一家企業(yè)來說，積極進取肯定是百利而無一害。 

 * 點擊了解更多 IBM 個人身份信息保護舉措

歷史精彩文章推薦 >>>

 * IBM馮靚：混合云時代的原生安全觀

 * 遠程工作環(huán)境中的可視性與威脅檢測 

 * 如何通過互聯(lián)性的方法提升威脅管理水平？ 

 關于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務部門，具有多年深耕全球和本地各行各業(yè)客戶的經驗。IBM Security 在全球守護95%的全球五百強企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團，包括50家全球最大的金融和銀行機構中的49家、15家最大的醫(yī)療機構中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機構發(fā)布的12份不同的分析報告中，有12項技術解決方案被列為領導者，在產業(yè)中躋身首列。