如今，世界各國對數(shù)據(jù)的重視，以及我們對數(shù)據(jù)的認識，都在不斷提升，數(shù)據(jù)在生產(chǎn)生活的比重越來越重，所謂數(shù)據(jù)就是財富：保護數(shù)據(jù)安全就是就是財富安全。

IBM一篇文章里提到，在過去一年，全球就有64%的公司面臨某種形式的網(wǎng)絡(luò)攻擊，每次攻擊的平均成本為 424萬美元，這是有記錄以來的最高水平。

現(xiàn)代企業(yè)必須確保其系統(tǒng)能夠抵抗未經(jīng)授權(quán)的訪問、阻止數(shù)據(jù)泄露并為所有者和用戶保持安全(同時仍可訪問)。來自不良行為者的攻擊在過去較少發(fā)生，但隨著當(dāng)今各種數(shù)字工具的出現(xiàn)，如果不加以保護和暴露，您的企業(yè)可能會成為目標(biāo)。

數(shù)據(jù)安全失敗會導(dǎo)致代價高昂的違規(guī)行為，這可能會損害公司的底線。探索什么是數(shù)據(jù)安全以及它如何保護組織和組織客戶的存儲信息。

什么是數(shù)據(jù)安全?

數(shù)據(jù)安全是保護敏感數(shù)字信息免遭不必要的訪問，無論是面對面的還是在線的。設(shè)備位置、安全軟件和組織實踐都有助于實現(xiàn)良好的數(shù)據(jù)安全。

需要注意的是，數(shù)據(jù)安全不同于數(shù)據(jù)保護(備份或復(fù)制存儲的數(shù)據(jù))和數(shù)據(jù)隱私(透明和合規(guī)地使用客戶數(shù)據(jù))。對于網(wǎng)絡(luò)安全團隊，數(shù)據(jù)安全定義了任何保護措施，以限制攻擊者、員工或商業(yè)競爭對手對收集的信息的疏忽或惡意濫用。

綜合戰(zhàn)略涉及三個核心原則，稱為 CIA 三原則：機密性、完整性和可用性。

(1) 保密性

通過限制對受信任和經(jīng)過驗證的方(例如員工或客戶)的訪問來保護數(shù)據(jù)。加密和訪問控是幫助組織保持機密性的兩種常用方法。

(2) 完整性

任何存儲數(shù)據(jù)的完整性是指其有效性。確保數(shù)據(jù)在任何時候都不會被篡改、降級或刪除。即使在寫入、發(fā)送、存儲或檢索時，也必須如此。數(shù)字簽名、不可擦除的審計跟蹤和定期備份都是組織保護系統(tǒng)數(shù)據(jù)完整性的技術(shù)措施。

(3) 可用性

授權(quán)用戶需要訪問受保護的服務(wù)并且應(yīng)該能夠修改其記錄。此外，整個生態(tài)系統(tǒng)中的不同軟件應(yīng)用程序需要訪問安全數(shù)據(jù)才能正確通信和交互。一流的數(shù)據(jù)安全性可將組織存儲的數(shù)據(jù)保留在手邊，而無需以犧牲完整性和機密性為代價。

為什么需要數(shù)據(jù)安全?

與恢復(fù)受損系統(tǒng)的初始成本相比，漏洞造成的損害可能更大。不良行為者可以竊取個人信息進行身份盜竊、勒索和騷擾，從而改變生活。

歐洲已通過《通用數(shù)據(jù)保護條例》(GDPR)將數(shù)據(jù)安全納入法律，對未能保護收集到的數(shù)據(jù)的任何人處以嚴(yán)厲罰款。GDPR 還意味著要向歐洲實體提供數(shù)據(jù)服務(wù)，第三方必須證明數(shù)據(jù)安全和數(shù)據(jù)保護的合規(guī)水平。我國則頒布了《數(shù)據(jù)安全法》《數(shù)據(jù)安全審查辦法》等法律法規(guī)，規(guī)范數(shù)據(jù)安全。

數(shù)據(jù)安全正迅速成為在線保護的最低標(biāo)準(zhǔn)，并為采用者提供其他一些好處。

(1) 提高數(shù)據(jù)完整性

未受破壞的數(shù)據(jù)使組織能夠做出準(zhǔn)確的預(yù)測和戰(zhàn)略業(yè)務(wù)決策。此外，強大的數(shù)據(jù)完整性讓其和其客戶可以高枕無憂?？蛻糁浪麄兊膫€人信息受到良好的保護。當(dāng)組織從一開始就實施數(shù)據(jù)安全策略時，可以輕松擴展自身業(yè)務(wù)，從而使自己在市場上比其實體更具優(yōu)勢。

(2) 保持完全合規(guī)

遵守當(dāng)?shù)財?shù)據(jù)安全規(guī)則，例如，國外企業(yè)在中國則需要遵守中國的相關(guān)法律法規(guī)，以《網(wǎng)絡(luò)安全法》《數(shù)據(jù)安全法》為主;在歐洲的組織則需要遵循GDPR，到了美國加州，加州有消費者隱私法等等，這點遵循入鄉(xiāng)隨俗，到什么山上唱什么歌了。這樣在這些區(qū)域內(nèi)進行交易，才能更加穩(wěn)妥。當(dāng)監(jiān)管機構(gòu)在新地點執(zhí)行安全法律時，它還可以讓組織建立更加靈活的策略。

(3) 建立良好聲譽減少損失降低業(yè)務(wù)成本

對于各國都越來越關(guān)注數(shù)據(jù)安全的市場，保護客戶的詳細信息有助于提高客戶保留率，有助于推動新業(yè)務(wù)開展。與系統(tǒng)漏洞的成本相比，與適當(dāng)?shù)臄?shù)據(jù)安全相關(guān)的費用是微不足道的。事實上，對于受數(shù)據(jù)泄露影響的小型企業(yè)，60% 的企業(yè)永遠無法恢復(fù)并且經(jīng)常在一年內(nèi)倒閉。對于違規(guī)的財務(wù)影響(包括聲譽損害、停機時間、危機管理、訴訟成本和系統(tǒng)遷移)可能會破壞組織業(yè)務(wù)。

如何實施數(shù)據(jù)安全策略

一旦決定實施或升級數(shù)據(jù)安全性，組織應(yīng)該從哪里開始?

以下四步流程可以幫助任何階段的任何企業(yè)。畢竟，投資于數(shù)據(jù)安全永遠不會太晚。

第 1 步：確定存在風(fēng)險的內(nèi)容

查看并列出組織用于開展業(yè)務(wù)的工具，包括物理設(shè)備、軟件、數(shù)據(jù)庫(包括數(shù)據(jù)本身)以及系統(tǒng)中的任何其他軟件。

此過程將以系統(tǒng)和數(shù)據(jù)的可見清單結(jié)束。接下來，確定組織在法律上需要保護的方面。確保組織以合規(guī)的方式存儲所有內(nèi)容。

然后，根據(jù)信息敏感性及其對業(yè)務(wù)的重要性對組織將保護的數(shù)據(jù)進行分類。組織不太可能保護每一項資產(chǎn)。但是嘗試確保最能發(fā)揮作用的事情是值得的。

第 2 步：查看當(dāng)前的數(shù)據(jù)安全協(xié)議

目前是否有任何數(shù)據(jù)安全系統(tǒng)?做他們的工作?考慮進行滲透測試以識別現(xiàn)有風(fēng)險并幫助衡量組織在任何升級后的成功。

請務(wù)必檢查系統(tǒng)流程是否合規(guī)。內(nèi)部或第三方審計可以突出高風(fēng)險領(lǐng)域，并讓組織解決可能增加風(fēng)險的潛在文化和教育差距。

物理上位于網(wǎng)絡(luò)邊緣的任何設(shè)備(臺式機、服務(wù)器或平板電腦)都被視為端點，并有遭受攻擊的風(fēng)險，位于異地時更是如此。端點保護是必不可少的，值得投資。

如果可能，最好刪除陳舊數(shù)據(jù)。組織應(yīng)該安裝一個清理程序或軟件來刪除大量過時、不需要或重復(fù)的數(shù)據(jù)。

第 3 步：組建數(shù)據(jù)安全團隊

考慮建立自己的內(nèi)部安全團隊。較小的企業(yè)可能會發(fā)現(xiàn)外包是一種更具成本效益的方式來訪問專家安全人員。盡可能將內(nèi)部知識與外部專業(yè)知識相結(jié)合。

確保組織對員工進行合規(guī)性教育，因為即使是最好的系統(tǒng)，人為錯誤也可能會導(dǎo)致失敗。為擁有系統(tǒng)訪問權(quán)限的每個人(包括領(lǐng)導(dǎo)層和外包人員)提供相同的培訓(xùn)，以減少員工失誤引發(fā)的問題。

繼續(xù)謹(jǐn)慎管理對組織系統(tǒng)的訪問權(quán)限，并刪除任何不需要或過時的配置文件。隨著工作流程轉(zhuǎn)向混合辦公空間，對遠程工作的活躍用戶進行身份驗證。

組建團隊后，請制定恢復(fù)計劃。這應(yīng)該指導(dǎo)工作人員在發(fā)生任何全系統(tǒng)災(zāi)難時的遏制方法。

第 4 步：更新數(shù)據(jù)安全方法

在確定公司范圍的安全需求后，組織可以使用多種軟件解決方案來實施策略：

• 身份驗證和訪問管理軟件：確保只有授權(quán)用戶才能訪問系統(tǒng)。
• 加密軟件：加密會使數(shù)據(jù)對任何沒有正確解密密鑰的人無用。因此，它可以幫助組織抵御勒索軟件攻擊。
• 數(shù)據(jù)屏蔽軟件：數(shù)據(jù)屏蔽獲取敏感數(shù)據(jù)并在上方應(yīng)用占位符或屏蔽，以防止濫用(例如，阻止信用卡號碼顯示給查看者的星號)。
• 風(fēng)險評估軟件：安全服務(wù)提供商提供風(fēng)險評估工具，可幫助組織審核網(wǎng)絡(luò)和軟件安全性。

組織應(yīng)根據(jù)數(shù)據(jù)安全的框架，制定培訓(xùn)和學(xué)習(xí)內(nèi)容，做到安全合規(guī)。醫(yī)療保健、金融和電信等受行業(yè)監(jiān)管還有其他合規(guī)需求。每個行業(yè)都有自己的一套監(jiān)管要求，如果業(yè)務(wù)涉及到對應(yīng)行業(yè)需要根據(jù)其行業(yè)要求，確保組織保持合規(guī)。

未來安全是一個不斷變化的，為了保護數(shù)據(jù)的未來安全，組織擁有最新的軟件將有助于保護業(yè)務(wù)。如果沒有針對數(shù)據(jù)安全的主動措施，組織的業(yè)務(wù)和數(shù)據(jù)信息就會面臨風(fēng)險，需要根據(jù)實際情況調(diào)整組織的數(shù)據(jù)暴露情況，然后采取積極有效措施盡可能提高數(shù)據(jù)安全性。威脅不斷增加。采取行動加強安全態(tài)勢會有所作為。