企业数据安全建设需警惕5大陷阱

X0_0X2024-02-18 17:24:16



我们已经生活在一个数字化的时代,那些能够从数据中获取最大价值的组织将成为最后的赢家。在数字化转型和数据民主化的发展背景下,企业开展数据安全保护刻不容缓。不过,尽管企业在数据保护方面已取得了长足的进步,但数据安全建设并非一蹴而就,需要过程和投入,如果缺乏系统思考必然会导致只重视解决眼前问题,而缺乏长远的规划,最终会造成头痛医头、顾此失彼、重复建设等问题。


本文收集整理了企业开展数据安全建设时普遍存在的5种常见问题,并给出建议。


陷阱1、仅满足合规是不够的


数据安全建设需要积极主动地识别和减轻风险,而不是仅仅在合规审计期间逐项打勾。虽然GDPR、数据安全法等一系列数据安全法规的出台,为企业组织的数据安全建设提出了明确要求和标准,但仅仅遵守这些法规是不够的。人们常说,遵守规定并不等于安全,很多安全专业人员也反复强调了这一点。然而,还是有很多的企业组织将其有限的安全资源集中在实现数据安全合规上,一旦符合了相关法规要求或通过认证,就会产生虚假的安全感。因此,近年来许多重大的数据泄露事件,恰恰发生在那些表面上看完全合规的组织中。


建议:将合规作为数据安全建设的起点


合规只是数据安全建设的起点,组织应采用战略性、主动性的方法来保护关键数据。该策略应该包括发现和分类敏感数据,使用分析工具评估风险,通过加密和访问控制实施数据保护,监测异常活动,快速响应威胁,并简化合规报告。同时,企业要了解数据泄露的更广泛影响,比如法律责任和潜在损失,这对于制定可靠的数据安全措施至关重要。


陷阱2:没有集中式数据安全监管机制


随着业务不断发展,数据被存储在分散的平台上,其中大部分是非结构化数据。数据蔓延现象切实存在,这突显了集中式安全监管的重要性。对IT基础设施越来越庞大的公司而言,如果数据源进一步扩展到云端,将会面临一个全新的数据安全攻击面。此时,组织需要一个更加全面的数据安全可见性,以便深入了解敏感数据的位置、访问权限、如何被利用以及如何存储等安全状况态势信息。


建议:部署新一代数据安全管控平台


有效的数据安全需要了解敏感数据存储和访问的位置及方式,并将这些信息融入到更广泛的网络安全计划中,以确保不同技术之间顺畅兼容。企业应该积极应用先进的数据安全管控平台方案,构建一个集中式的数据发现、优先级评估、安全防护和持续监控能力,这样才能识别所有已知和未知的数据,并根据数据量、暴露情况和安全态势确定安全隐患的风险级别,提出风险警报和补救指导。


陷阱3:数据安全的责任不明确


数据是现代企业最有价值的资产之一。然而,即使意识到数据安全的重要性,许多企业也没有明确由哪个部门或团队来负责保护敏感数据。这种情况在数据安全或审计事件中往往变得明显。明确描述数据所有权和责任对于有效开展数据安全建设至关重要。企业中的所有部门以及员工都必须了解自己在保护数据安全方面的职责和角色,这样才可以形成稳定的数据安全文化。如果没有人知道谁对哪些数据负责,保护数据安全就无从谈起。


建议:设立数据安全保护官(DPO)


设立数据安全保护官(DPO)是企业向高效数据安全管理迈出的第一步,这个工作角色对于促进整个组织数据安全协作将起到关键性作用。在开展数据安全建设时,DPO 既要考虑监管越来越严格的监管要求,也要管理好内部的组织问题;同时,还要保持其有效运转,以保障数据资产的全链安全及业务的合规增长,这些都是DPO最核心的工作职责。


陷阱4:未及时解决已知的漏洞


未修补的漏洞是网络犯罪分子最容易攻击的目标之一。企业中很多的数据安全事件往往由于已知的漏洞造成的,尽管相关的安全补丁已经发布,但许多企业由于种种原因并不能及时修补这些漏洞。无法快速修补已知漏洞会严重危及组织的数据安全性。


建议:实施更有效的漏洞管理计划


对于企业组织来说,在实施漏洞管理计划之前,首先需要明确一点,如何判断漏洞管理项目的有效性?很多时候,漏洞管理不仅仅是一个技术问题而是企业综合管理问题,它应该是程序化的,包含计划、行动、协同、问责和持续改进。企业应该将漏洞修复视为一个优先事项,并基于潜在的漏洞和业务影响设置漏洞修复优先级。此外,对漏洞的保护措施种还应包括加密和令牌化等数据混淆技术。


陷阱5:对数据流动的监控力度不足


全面监控数据访问和使用是企业数据安全战略的重要组成部分。企业需要知道哪些人、在什么时候、以何种方式访问数据,这些访问活动是否会增加企业的数据安全风险。然而在大数据时代,全面监控数据活动困难重重,因为需要监控、捕获、过滤和处理来自数据库、文件系统和云环境等不同数据源下的海量数据。


建议:制定全面的数据监控策略


企业在开始数据安全建设时,需要及时调整数据监控工作的规模和范围,以正确应对数据安全防护的需求和风险。该项工作通常应该采用分阶段方法,这样能够开发和扩展更多的最佳应用实践。此外,企业应优先考虑监控最敏感的数据源,并购买具有高级分析功能的自动化监控工具,以检测风险和异常活动,尤其是特权用户。


参考链接:


大数据数据安全
本作品采用《CC 协议》,转载必须注明作者和本文链接
“卓信数据计划”持续招募成员单位,预计2022年3月前完成第六批(2022年第二批)100家相关企业招募审核工作。
当前,以数字经济为代表的新经济成为经济增长新引擎,数据作为核心生产要素成为了基础战略资源,数据安全的基础保障作用也日益凸显。伴随而来的数据安全风险与日俱增,数据泄露、数据滥用等安全事件频发,为个人隐私、企业商业秘密、国家重要数据等带来了严重的安全隐患。近年来,国家对数据安全与个人信息保护进行了前瞻性战略部署,开展了系统性的顶层设计。《中华人民共和国数据安全法》于2021年9月1日正式施行,《中华人
前言:工信部召开“十四五”信息通信行业发展规划新闻发布会。工信部网络安全管理局副局长杜广达在会上回答有关“数据安全”和“网络安全”等问题。
高额奖金等你来拿~
随着《中华人民共和国密码法》和《国家政务信息化项目建设管理办法》(国办发〔2019〕57 号)的发布,以密码为核心的网络安全的重要性越发凸显。然而,在国内智慧城市的大规模建设中,“重业务、轻安全”的现象普遍存在。密码技术作为智慧城市网络安全的基础与核心技术,从智慧城市密码的应用架构、密码核心技术、防护能力、解决的应用领域、密码应用实践等方面分别进行了阐述,可以解决智慧城市建设中出现的安全性问题,
医疗物联网升温态势明显,做好安全保障前置了吗?
10月16日至17日,“天府杯”国际网络安全大赛暨2021天府国际网络安全高峰论坛将在成都天府国际会议中心举行。本届“天府杯”国际网络安全大赛将总奖金额提升至150万美元。“网络安全红云展”和“反诈宣传展”两特色科普宣传展将在天府杯活动中首度亮相。值得一提的是,这两项特色科普展览原计划于今年8月举行的2021北京网络安全大会上首次展出。但受突发疫情影响,北京网络安全大会改为线上举行
本报告通过六张实战推演图,结合安全能力者、第三方机构和安全运营者的观点,展示了攻击方从攻击面分析、边界突破、横向渗透到靶标攻陷的攻击过程,防守方从基础保护、强化保护到协同保护的纵深防御体系,描绘了大型网络安全攻防实战演习的全景对象和步骤推演。
11月16日,在工业和信息化部举办的《“十四五”信息通信行业发展规划》新闻发布会上,工信部信息通信发展司司长谢存介绍了《规划》起草的背景、过程、主要考虑和相关内容。
X0_0X
暂无描述