隨著網(wǎng)絡(luò)攻擊面的擴(kuò)大、供應(yīng)鏈攻擊的頻繁發(fā)生以及向云的轉(zhuǎn)移，數(shù)據(jù)安全比以往任何時候都更加重要。根據(jù)IBM Security 發(fā)布的2023 年數(shù)據(jù)泄露成本報告， 2023 年全球數(shù)據(jù)泄露平均成本達(dá)到 445 萬美元，創(chuàng)下歷史新高。

在本文中，您將了解數(shù)據(jù)安全的主要原則，并了解適用于大多數(shù)行業(yè)的 10 種數(shù)據(jù)安全最佳實踐。

數(shù)據(jù)威脅和維護(hù)數(shù)據(jù)安全的好處 

什么是數(shù)據(jù)安全？ 

數(shù)據(jù)安全是旨在保護(hù)組織敏感資產(chǎn)的流程和工具的組合。有價值的數(shù)據(jù)在靜態(tài)和傳輸過程中都必須受到保護(hù)。安全官員應(yīng)考慮的數(shù)據(jù)安全的其他方面是安全的數(shù)據(jù)創(chuàng)建和使用。

10 個數(shù)據(jù)安全最佳實踐：保護(hù)數(shù)據(jù)的簡單方法

有效的數(shù)據(jù)安全措施包括實施實時監(jiān)控并對任何可疑事件快速做出反應(yīng)，使您的數(shù)據(jù)能夠抵御欺詐活動。

為什么數(shù)據(jù)安全如此重要以至于當(dāng)局和監(jiān)管機(jī)構(gòu)不斷提出新的數(shù)據(jù)安全要求？

強(qiáng)大的數(shù)據(jù)安全性的主要好處

讓我們看一下組織中高級數(shù)據(jù)安全性的主要優(yōu)勢：

1. 保護(hù)信息— 了解您的信息受到保護(hù)，免受內(nèi)部和外部威脅，可以讓您高枕無憂。因此，您將有更多時間專注于業(yè)務(wù)策略，而不必?fù)?dān)心數(shù)據(jù)泄漏。2. 增強(qiáng)聲譽(yù)——尋求長期合作的組織和企業(yè)總是密切關(guān)注潛在合作伙伴的聲譽(yù)。應(yīng)用可靠的數(shù)據(jù)保護(hù)實踐還可以激發(fā)客戶的信任。

3. 遵守數(shù)據(jù)安全要求——實施適當(dāng)?shù)陌踩胧┛梢源_保遵守數(shù)據(jù)安全要求。這將幫助您的組織避免因違規(guī)而遭受巨額罰款。

4. 減少訴訟 費(fèi)用——預(yù)防事件發(fā)生總是比處理事件后果更具成本效益。您在數(shù)據(jù)安全上花費(fèi)的時間和精力越多，用于控制潛在事件并從中恢復(fù)的費(fèi)用就越少。

5. 增強(qiáng)業(yè)務(wù)連續(xù)性——強(qiáng)大的數(shù)據(jù)安全實踐有助于不間斷運(yùn)營，降低業(yè)務(wù)中斷的風(fēng)險，從而降低收入損失。

哪些數(shù)據(jù)需要保護(hù)？

要了解哪些數(shù)據(jù)面臨風(fēng)險，我們首先看一下最常被盜的數(shù)據(jù)類型：

您組織的敏感數(shù)據(jù)必須根據(jù)您所在行業(yè)和司法管轄區(qū)的相關(guān)法律法規(guī)進(jìn)行保護(hù)。

在下表中，您可以看到一些最常被泄露的敏感數(shù)據(jù)類型以及管理其保護(hù)的法律、標(biāo)準(zhǔn)和法規(guī)：

需要考慮的其他 IT 標(biāo)準(zhǔn)包括NIST 800-53、NIST 800-171和ISO 27000 系列。

企業(yè)數(shù)據(jù)面臨的主要威脅

沒有任何系統(tǒng)能夠 100% 免受錯誤配置、內(nèi)部威脅和網(wǎng)絡(luò)攻擊的影響。組織的敏感數(shù)據(jù)可能會丟失、損壞或被錯誤的人獲取。

以下是組織的數(shù)據(jù)或系統(tǒng)可能面臨的主要威脅：

在本文中，我們重點關(guān)注內(nèi)部人為威脅，因為甚至許多外部網(wǎng)絡(luò)攻擊也可能僅由于員工的行為而發(fā)生——根據(jù)Verizon 的2023 年數(shù)據(jù)泄露調(diào)查報告， 74% 的數(shù)據(jù)泄露都包含人為因素。

為了了解數(shù)據(jù)如何被泄露，讓我們回顧一下內(nèi)部人員造成的數(shù)據(jù)泄露的幾個例子：

• 人為錯誤和疏忽——合法用戶可能由于網(wǎng)絡(luò)安全方面的疏忽、注意力不集中、疲勞和其他人為因素而犯下各種錯誤。

2021 年春季，達(dá)拉斯警察局的一名員工意外刪除了超過 800 萬個文件。該數(shù)據(jù)對于 17,000 多起暴力案件至關(guān)重要。被刪除的信息包括 23 TB 的音頻、視頻、照片和案例說明。

• 惡意內(nèi)部人員——內(nèi)部用戶可能為了自身利益而故意竊取、損壞或銷毀組織的數(shù)據(jù)。

2021年1月，賓夕法尼亞州Elliott Greenleaf律師事務(wù)所的四名律師竊取了他們公司的大量文件。經(jīng)過四個月的周密規(guī)劃，數(shù)據(jù)已轉(zhuǎn)移到他們的云帳戶中。被盜數(shù)據(jù)包含該公司的工作產(chǎn)品、記錄、信件、訴狀和客戶群。

• 權(quán)限濫用——具有提升權(quán)限的用戶可能會進(jìn)行各種類型的敏感數(shù)據(jù)濫用或不當(dāng)數(shù)據(jù)處理。

2021 年 4 月，Proofpoint 的一名銷售主管將公司數(shù)據(jù)上傳到他的 USB 拇指驅(qū)動器，并據(jù)稱將被盜數(shù)據(jù)轉(zhuǎn)移給該公司的競爭對手 Abnormal Security。這些數(shù)據(jù)包括重要的貿(mào)易信息和競爭策略。

• 第三方威脅— 數(shù)據(jù)安全威脅可能來自有權(quán)訪問組織敏感數(shù)據(jù)的合作伙伴、供應(yīng)商和分包商。第三方也可以成為外部攻擊者的中間人，就像在某些供應(yīng)鏈攻擊中一樣。

2021 年 5 月，沙特阿美公司 1 TB 的數(shù)據(jù)因受影響的第三方供應(yīng)商而泄露。攻擊者索要 5000 萬美元的贖金以換取被盜數(shù)據(jù)。

上述所有威脅都可能危及您的敏感數(shù)據(jù)并擾亂您的業(yè)務(wù)運(yùn)營：

但是，如果您及時發(fā)現(xiàn)并響應(yīng)數(shù)據(jù)安全威脅，則可以有效減輕其后果。

如何保護(hù)組織的敏感數(shù)據(jù)？

為了回答這個問題，我們來看看保護(hù)數(shù)據(jù)的關(guān)鍵方法。根據(jù)Gartner 的說法，保護(hù)數(shù)據(jù)的四種主要方法是：

1. 加密——防止未經(jīng)授權(quán)的人員讀取您的數(shù)據(jù)。

2. 屏蔽——通過用隨機(jī)字符替換敏感信息來抑制或匿名化高價值數(shù)據(jù)。您還可以用低價值的代表代幣替換數(shù)據(jù)；這種方法稱為標(biāo)記化。

3. 數(shù)據(jù)擦除——涉及清理不再使用或不再活動的數(shù)據(jù)存儲庫。

4. 數(shù)據(jù)彈性 —涉及關(guān)鍵數(shù)據(jù)的完整備份、差異備份和增量備份。將有價值的數(shù)據(jù)存儲在不同位置有助于使其可恢復(fù)并能夠抵御不同的網(wǎng)絡(luò)安全威脅。

現(xiàn)在，是時候研究強(qiáng)大的數(shù)據(jù)安全背后的基本原則了。

核心數(shù)據(jù)安全原則和控制

機(jī)密性、完整性和可用性構(gòu)成了CIA 三要素，這對于確保強(qiáng)大的數(shù)據(jù)保護(hù)至關(guān)重要：

保密性——保護(hù)數(shù)據(jù)免遭未經(jīng)授權(quán)的訪問。

完整性——數(shù)據(jù)可靠且正確，敏感信息受到保護(hù)，防止非法更改。

可用性——所有合法用戶都可以輕松訪問數(shù)據(jù)。

為了遵守這三個原則，組織需要稱為數(shù)據(jù)安全控制的實用機(jī)制。這些是預(yù)防、檢測和響應(yīng)威脅您寶貴資產(chǎn)的安全風(fēng)險的對策。

我們下面的 10 項數(shù)據(jù)安全最佳實踐涵蓋了這些控制措施以及數(shù)據(jù)安全標(biāo)準(zhǔn)、法律和法規(guī)的主要合規(guī)性要求。

適合您組織的 10 大數(shù)據(jù)安全最佳實踐

雖然不同的企業(yè)、地區(qū)和行業(yè)可能需要不同的數(shù)據(jù)保護(hù)實踐，但我們選擇了適合大多數(shù)組織的最佳實踐。如果您想知道如何確保組織的數(shù)據(jù)安全，請遵循以下十大數(shù)據(jù)保護(hù)最佳實踐。

現(xiàn)在，讓我們詳細(xì)討論每種數(shù)據(jù)保護(hù)技術(shù)。

1. 定義您的敏感數(shù)據(jù)

在實施安全措施之前考慮檢查您的數(shù)據(jù)：

首先，評估數(shù)據(jù)的敏感性。數(shù)據(jù)敏感度分為三個級別：

低敏感度數(shù)據(jù)——公眾可以安全地查看或使用，例如網(wǎng)站上發(fā)布的一般信息。

中等敏感度數(shù)據(jù)——可以在組織內(nèi)部共享，但不能與公眾共享。如果發(fā)生數(shù)據(jù)泄露，不會造成災(zāi)難性后果。

高度敏感的數(shù)據(jù)——只能與有限的內(nèi)部人員共享。如果受到損害或破壞，可能會對組織產(chǎn)生災(zāi)難性影響。

檢查您的數(shù)據(jù)可見性級別。您是否始終可以查看或查看與您的敏感數(shù)據(jù)相關(guān)的所有操作？如果沒有，請多注意做法 6、8 和 10。

遵守這些做法可以幫助您確定優(yōu)先順序并專注于最需要保護(hù)的信息。

2. 制定網(wǎng)絡(luò)安全政策

第二項任務(wù)是組織所有網(wǎng)絡(luò)安全機(jī)制、活動和控制措施以形成工作策略。通過實施數(shù)據(jù)安全策略，使您組織的人力和技術(shù)資源有效支持您的數(shù)據(jù)安全工作：

為您的數(shù)據(jù)使用政策創(chuàng)建管理組織敏感數(shù)據(jù)的規(guī)則。它應(yīng)包含員工、利益相關(guān)者和第三方處理數(shù)據(jù)時的指南。

對數(shù)據(jù)實施基于風(fēng)險的方法。評估與組織中數(shù)據(jù)使用相關(guān)的所有風(fēng)險以及數(shù)據(jù)弱點。然后，首先關(guān)注最高的風(fēng)險。

定期數(shù)據(jù)庫審計可幫助您了解當(dāng)前情況并為進(jìn)一步的數(shù)據(jù)防御設(shè)定明確的目標(biāo)。它們允許您跟蹤所有用戶操作并隨時查看詳細(xì)的元數(shù)據(jù)。

應(yīng)用適當(dāng)?shù)难a(bǔ)丁管理策略。這是修補(bǔ)公司環(huán)境內(nèi)或代碼中的漏洞的步驟和規(guī)則列表。定期進(jìn)行補(bǔ)丁并相應(yīng)地記錄所有操作。 

徹底解雇員工，從監(jiān)控和記錄員工對關(guān)鍵資產(chǎn)的活動和操作，到完全撤銷訪問權(quán)限。 

此外，考慮任命一名數(shù)據(jù)保護(hù)官(DPO)，他將： 

• 控制數(shù)據(jù)安全要求的合規(guī)性 
• 就數(shù)據(jù)保護(hù)措施提出建議 
• 處理員工、提供商和客戶之間與安全相關(guān)的投訴 
• 處理安全故障 

3. 制定事件響應(yīng)計劃 

事件響應(yīng)計劃規(guī)定了及時處理網(wǎng)絡(luò)安全事件并減輕其后果的行動。您可以參考HIPAA、NIST 800-53、PCI DSS以及其他設(shè)定事件響應(yīng)要求的標(biāo)準(zhǔn)、法律和法規(guī)。不要忘記： 

• 定義 安全事件、它們的變化以及它們對您的組織造成的后果的嚴(yán)重性 
• 選擇 負(fù)責(zé)處理事件的人員 
• 進(jìn)行 安全審核，根據(jù)以前的事件改進(jìn)您的計劃，并列出您的組織可能面臨的事件的擴(kuò)展列表 
• 制定 溝通計劃以及發(fā)生事件時應(yīng)通知的當(dāng)局列表 

此外，創(chuàng)建數(shù)據(jù)恢復(fù)計劃以確保您的數(shù)據(jù)和系統(tǒng)可以在可能的事件發(fā)生后快速恢復(fù)。 

4. 確保數(shù)據(jù)存儲安全 

在實施其他數(shù)據(jù)保護(hù)實踐之前，請確保數(shù)據(jù)在各個級別都安全存儲：

小心存儲包含數(shù)據(jù)的物理介質(zhì)。使用防水和防火的存儲介質(zhì)很重要。此外，使用鎖閂鋼門和保安裝置保護(hù)您的數(shù)據(jù)。 

此外，請?zhí)貏e注意如何借助現(xiàn)代技術(shù)保護(hù)數(shù)據(jù)。我們已經(jīng)討論過備份、加密、屏蔽和確認(rèn)擦除作為安全存儲文件的四種主要數(shù)據(jù)安全方法。 

考慮部署USB 設(shè)備管理工具來保護(hù)設(shè)備上存儲的所有數(shù)據(jù)。保護(hù)移動設(shè)備上的信息和通過可移動存儲設(shè)備共享的數(shù)據(jù)。不要忘記能夠?qū)Π舾袛?shù)據(jù)的設(shè)備上的可疑活動提供可見性和通知的解決方案。 

5. 限制對關(guān)鍵資產(chǎn)的訪問 

以徹底保護(hù)數(shù)據(jù)訪問為出發(fā)點：

物理訪問 控制通過數(shù)據(jù)庫的鎖定和回收、視頻監(jiān)控、各種類型的報警系統(tǒng)和網(wǎng)絡(luò)隔離來保護(hù)對數(shù)據(jù)服務(wù)器的訪問。他們還應(yīng)確保從移動設(shè)備和筆記本電腦連接到服務(wù)器、計算機(jī)和其他資產(chǎn)的安全訪問。 

控制所有數(shù)據(jù)訪問點，并通過生物識別和多因素身份驗證實現(xiàn)高效的身份管理。密碼管理可幫助您自動創(chuàng)建和輪換密碼，并提高入口點的安全性。 

您還可以通過采用最小特權(quán)或即時特權(quán)訪問管理 (JIT PAM)原則來降低內(nèi)部風(fēng)險，該原則為在有限時間內(nèi)真正需要特定任務(wù)的用戶提供特權(quán)訪問權(quán)限。 

不要忘記從任何設(shè)備和端點安全地訪問最關(guān)鍵的數(shù)據(jù)。遠(yuǎn)程工作和混合工作模式的持續(xù)趨勢導(dǎo)致對安全訪問管理解決方案的需求不斷增加。

6.持續(xù)監(jiān)控用戶活動

考慮使用用戶活動監(jiān)控(UAM) 解決方案來增強(qiáng)組織的可見性。對所有有權(quán)訪問敏感信息的員工進(jìn)行全面實時監(jiān)控還可能包括：

隨時查看與敏感數(shù)據(jù)相關(guān)的任何用戶會話并接收有關(guān)異常用戶活動的警報的能力可以幫助您保護(hù)與關(guān)鍵資產(chǎn)的交互。這樣，您將有更大的機(jī)會避免代價高昂的數(shù)據(jù)泄露。 

7. 管理第三方相關(guān)風(fēng)險 

監(jiān)控 IT 基礎(chǔ)設(shè)施內(nèi)第三方用戶的行為至關(guān)重要。第三方可能包括合作伙伴、分包商、供應(yīng)商、供應(yīng)商以及有權(quán)訪問您的關(guān)鍵系統(tǒng)的任何其他外部用戶。即使您信任第三方，他們的系統(tǒng)也有可能容易受到黑客攻擊和供應(yīng)鏈攻擊。 

除了監(jiān)控第三方供應(yīng)商在本地和云端的會話之外： 

• 確保 您清楚地了解第三方環(huán)境，并定義控制和處理數(shù)據(jù)的工作人員 
• 與第三方服務(wù)提供商簽署服務(wù)級別協(xié)議（SLA） 
• 要求定期問責(zé)，以確保維持?jǐn)?shù)據(jù)安全標(biāo)準(zhǔn) 
• 與您的供應(yīng)商合作提高共同安全

8.特別關(guān)注特權(quán)用戶

請記住，特權(quán)用戶擁有更高的權(quán)限來訪問和更改組織的敏感數(shù)據(jù)。特權(quán)帳戶和會話管理 (PASM)功能用于完全控制特權(quán)帳戶的訪問以及監(jiān)視、記錄和審核特權(quán)帳戶的會話。

考慮實施五個核心 PASM 功能：

10 個數(shù)據(jù)安全最佳實踐：保護(hù)數(shù)據(jù)的簡單方法

特權(quán)帳戶可能會因數(shù)據(jù)處理不當(dāng)、特權(quán)濫用或數(shù)據(jù)誤用事件而構(gòu)成最大的內(nèi)部威脅。但簡單的解決方案和嚴(yán)格的控制可以減輕大部分風(fēng)險。

9. 對所有員工進(jìn)行數(shù)據(jù)安全風(fēng)險教育

教育您的員工如何安全地處理公司資產(chǎn)以及如何識別惡意軟件和社交工程嘗試非常重要。

不要忘記提供新的培訓(xùn)，以提供有關(guān)最新數(shù)據(jù)威脅形勢的最新信息。另外，考慮為新員工提供入門培訓(xùn)。定期對員工和學(xué)員進(jìn)行教育至關(guān)重要。

10 個數(shù)據(jù)安全最佳實踐：保護(hù)數(shù)據(jù)的簡單方法

根據(jù)以人為本的數(shù)據(jù)安全方法，員工在威脅緩解過程中發(fā)揮著重要作用。知識可以顯著減少與人員相關(guān)的數(shù)據(jù)泄露，并使安全措施對您的員工更加明顯。

10.部署專用數(shù)據(jù)安全軟件

考慮部署專門的數(shù)據(jù)保護(hù)解決方案來控制敏感數(shù)據(jù)的安全。實施安全軟件時，優(yōu)先考慮具有以下功能的解決方案：

• 用戶活動監(jiān)控 
• 自動訪問管理 
• 安全事件通知 
• 審計和報告 
• 密碼管理 

此外，您可能需要確保從一處查看各種類型的設(shè)備和端點。部署太多不同的工具和解決方案并不總是有效，因為它會減慢 IT 和安全管理流程、增加開支并使維護(hù)復(fù)雜化。 

結(jié)論

數(shù)據(jù)安全旨在保護(hù)數(shù)據(jù)在創(chuàng)建、存儲、管理和傳輸過程中的安全。內(nèi)部人員可能會故意違反安全規(guī)則、數(shù)據(jù)處理不當(dāng)或帳戶遭到泄露，從而給組織的數(shù)據(jù)帶來風(fēng)險。

本文翻譯自：https://www.ekransystem.com/en/blog/data-security-best-practices如若轉(zhuǎn)載，請注明原文地址