對于受到越來越多法規(guī)和法律義務(wù)約束的企業(yè)組織而言，保留數(shù)據(jù)記錄既是生活中的既定事實，也是日漸棘手的問題。本文將介紹保護(hù)數(shù)據(jù)和文檔安全的最糟(以及最佳)做法。

運動賽場上的記錄是用來突破的，而企業(yè)的數(shù)據(jù)記錄卻始終被保留著，直至它們徹底失效為止。隨著合規(guī)性要求的迅速增加，企業(yè)正面臨著一場“數(shù)據(jù)海嘯”，當(dāng)前和過時的數(shù)據(jù)記錄鋪天蓋地，完全壓垮了對其進(jìn)行安全存儲、跟蹤、管理并最終銷毀所需的人力和IT資源。

[[395464]]

Deloitte風(fēng)險與金融咨詢公司的負(fù)責(zé)人Sean Riley表示，每個記錄類別都有一個保留期限，該保留期限由公司政策、業(yè)務(wù)風(fēng)險承受能力、外部法律建議、法規(guī)要求和法律義務(wù)等多方因素共同定義。一些記錄只需要保存三年，而其他一些則可能出于商業(yè)價值或法律原因需要無限期保存。

Deloitte風(fēng)險與金融咨詢公司另一位負(fù)責(zé)人Dan Frank補(bǔ)充道，數(shù)據(jù)記錄保留實際上會導(dǎo)致數(shù)據(jù)破壞。大多數(shù)組織非常擅于保留數(shù)據(jù)。CISO的主要責(zé)任是確保組織具有安全的數(shù)據(jù)和記錄銷毀能力，以及相應(yīng)的技術(shù)，以在適當(dāng)?shù)那闆r下安全地刪除數(shù)據(jù)和記錄。保存過時的記錄可能會導(dǎo)致時間浪費和不必要的混亂，因為研究人員在搜索實際需要的記錄時會發(fā)現(xiàn)自己正在尋找過時的文件。未能正確整理記錄還會增加存儲和備份成本。

由于CISO正面臨著越來越多的法定記錄庫存，并且難以決定要保留或丟棄哪些文檔和數(shù)據(jù)，因此他們很容易成為下述數(shù)據(jù)保留“七宗罪”的受害者：

數(shù)據(jù)保留“七宗罪”

1. 忽略最新的和不斷發(fā)展的記錄保留要求

最近的隱私法規(guī)，例如歐盟的《通用數(shù)據(jù)保護(hù)法規(guī)》(GDPR)和《加州消費者隱私法案》(CCPA)，極大地增加了對更深入、更強(qiáng)大和更具包容性的數(shù)據(jù)治理的需求。為了在當(dāng)今的隱私、法律和法規(guī)環(huán)境中生存，企業(yè)組織必須對其擁有哪些數(shù)據(jù)?所處位置?應(yīng)該如何使用?與誰共享?是否屬于出售數(shù)據(jù)?以及必須保留多久等問題有一個非常全面的了解。如果CISO不先了解組織所擁有的數(shù)據(jù)類型和數(shù)量以及其所處位置，談何幫助組織實施全面的記錄保留時間表和策略?

2. 忽略適當(dāng)定義數(shù)據(jù)保留目標(biāo)和職責(zé)

數(shù)據(jù)保留和數(shù)據(jù)治理程序不是一次性項目。一個功能完整且可靠的程序需要人員、流程和技術(shù)來支持它們，就像任何其他公司職能(例如數(shù)據(jù)隱私或信息安全)一樣。

管理著組織不善的數(shù)據(jù)保留程序的CISO往往會與內(nèi)部團(tuán)隊脫節(jié)，這有助于推動降低風(fēng)險的結(jié)果。當(dāng)CISO讓所有利益相關(guān)者(包括法律、隱私、網(wǎng)絡(luò)安全、IT和記錄管理團(tuán)隊)參與制定和實施記錄保留協(xié)議和程序時，其將為組織提供最佳服務(wù)。

無組織無意識的CISO也容易錯過日常業(yè)務(wù)過程中不時出現(xiàn)的主要數(shù)據(jù)管理改進(jìn)機(jī)會。記住，內(nèi)部系統(tǒng)的升級、遷移以及外部事件(例如資產(chǎn)剝離和收購)可以為實施數(shù)據(jù)管理改進(jìn)策略提供時機(jī)。

3. 無法完全了解CISO在記錄保留中的作用

盡管律師、CIO和CDO通常負(fù)責(zé)建立基本的記錄保留策略和時間表，但CISO在記錄管理過程中同樣發(fā)揮著核心作用，尤其是在保存和提供可用于支持安全調(diào)查的數(shù)據(jù)，以及可用于證明數(shù)據(jù)完整性的監(jiān)管鏈證據(jù)等方面。除此之外，信息安全領(lǐng)導(dǎo)者還必須能夠證明事件相關(guān)性，以滿足法院的“不可抵賴性”要求，并提供事件歷史記錄，以確定環(huán)境中事件的停留時間。最后，CISO應(yīng)該負(fù)責(zé)(提交)與獨立審計有關(guān)的報告……以及法律和法規(guī)義務(wù)。

4. 對數(shù)據(jù)生命周期元素缺乏全面的了解

一些CSO對數(shù)據(jù)生命周期中涉及的各種元素缺乏全面的了解。結(jié)果，關(guān)鍵數(shù)據(jù)生命周期元素經(jīng)常被忽略或被錯誤地使用。

了解處理活動的確切名稱和描述、流程所有者、數(shù)據(jù)處理器以及業(yè)務(wù)目的和合法性只是挑戰(zhàn)的一部分。加上與處理活動相關(guān)聯(lián)的資產(chǎn)以及它們的地理位置，還有很多元數(shù)據(jù)需要分析。即便元數(shù)據(jù)正確，也必須要有專人進(jìn)行初始分析，這并不是傳統(tǒng)的安全技能集。

5. 完全信任自動化記錄管理解決方案

記錄自動化可以是一種非常有用且節(jié)省時間的技術(shù)。不幸的是，它同時也是一個非常復(fù)雜的工具，很容易導(dǎo)致錯誤的記錄保留或銷毀決策，尤其是在配置不當(dāng)或使用不當(dāng)?shù)臅r候。對于每個用例而言，理解是什么觸發(fā)了自動化流程的變更——例如法律保留、稅務(wù)審計保留以及法規(guī)變更——是一件非常困難的事情。

無論是手動記錄管理還是自動化配置過程中，人類仍需要發(fā)揮重要作用。與監(jiān)管利益相關(guān)者就他們的目標(biāo)和定期清除進(jìn)行雙向溝通至關(guān)重要。明確能夠在內(nèi)部和外部搜索和操縱數(shù)據(jù)的數(shù)據(jù)管理員同樣至關(guān)重要。

6. 忽略保留戰(zhàn)術(shù)性日志數(shù)據(jù)

這種疏忽可能會特別致命，因為如果必須對重大漏洞進(jìn)行分類或解決其他類型的重大安全事件，調(diào)查人員可能需要回溯歷史數(shù)據(jù)才能發(fā)現(xiàn)事件的根源所在。要知道，發(fā)現(xiàn)違規(guī)事件的根源或是損害的程度，在很大程度上都要依賴回溯流量和其他日志數(shù)據(jù)，以明確攻擊者的攻擊路徑以及執(zhí)行的相關(guān)技術(shù)。缺乏對戰(zhàn)術(shù)性日志數(shù)據(jù)的訪問，就無法準(zhǔn)確定位發(fā)生攻擊的確切時間，以及攻擊者在此過程中所遵循的流程、技術(shù)和策略。

7. 未能定期檢查當(dāng)前記錄保留期限是否仍然有效

如今，監(jiān)管形勢正在不斷變化，每當(dāng)法規(guī)或法律要求變更時，CISO需要做好準(zhǔn)備以快速地調(diào)整記錄保留期限。如果本該清除的記錄繼續(xù)保留著，或是需要保留的記錄自動清除掉了，都可能會導(dǎo)致嚴(yán)重的財務(wù)和訴訟后果。對保留期限進(jìn)行嚴(yán)格監(jiān)督，這一點至關(guān)重要。

除此之外，安全專家還敦促CISO必須準(zhǔn)確監(jiān)控管理層和員工如何訪問和處理記錄。要知道，無論書面記錄保留政策多么完美，如果人們不遵守該政策，一切將毫無意義。