• 當前位置:安全行業動態 → 正文

    首席信息安全官如何不錯過與首席數據官的合作機會?

    責任編輯:cres 作者:Myles Suer |來源:企業網D1Net  2021-05-27 10:13:25 原創文章 企業網D1Net

    Alation公司解決方案營銷總監Myles Suer表示,近日與一家分析機構的分析師在一次電話會議中討論了數據的安全性。分析師表示,大多數企業的首席信息安全官仍然專注于保護其企業業務免受外部入侵或危害,而不是保護其企業最有價值的資產(數據)免受內部和外部威脅。
     
    大多數人都非常關注《隱私工程師宣言》一書作者所說的“訪問階段保護”。Constellation研究公司分析師Dion Hinchcliffe說,“不幸的事實是,安全沒有邊界。人們再也無法信任任何事物,即使在外圍也是如此。任何人可以連接全球互聯網,網絡攻擊者也可以攻擊所有人。”
     
    前首席信息官Wayne Sadin對此表示認同,他說:“我特別不喜歡‘外圍’,因為這意味著‘內部=安全,外部=危險’”。他表示,盡管訪問階段保護仍然是安全架構的重要組成部分,但首席信息安全官仍有機會做更多的事情,可以與首席數據官開展合作,以保護其所在公司及其數據的真正價值。
     
    采取這一步驟的原因是,正如首席信息安全官所知道的那樣,網絡攻擊者變得越來越老練。他們有些并不強行攻擊企業防火墻,而是找到眾所周知的窗口。他們這樣做的目的是針對控制數據庫訪問權限的數據庫,并使用網絡釣魚和其他攻擊技術來獲取企業的客戶數據,網絡攻擊者因此可以訪問企業的客戶數據庫中的所有內容。
     
    安全教育仍然很重要,那么有一個問題是:首席信息安全官和首席數據官為什么不積極保護其公司數據?
     
    這是建立合作伙伴關系的一個絕佳機會,因為首席信息安全官可以利用首席數據官的數據知識和治理技能,而首席數據官可以利用首席信息安全官的內部和外部威脅知識。
     
    系統化的數據治理
     
    保護數據的核心要素是使數據治理實現系統化。有了數據治理,任何人(無論職位或級別多高)都不應該有權訪問所有數據。需要的是建立一些安全原則和流程,將控制和信息構建到流程、系統、組件和產品中,以實現對個人信息的授權、公平和合法處理。
     
    具體來說,其合作機會是為個人可識別信息(PII)建立數據治理,并遵守ISO 27001標準。企業首席信息安全官和首席數據官目前應該面臨的問題是,如何做好這一點,特別是在傳統企業中。
     
    為此建議企業執行以下三個步驟:
     
    步驟1:建立數據管理
     
    一切都需要從數據管理開始。需要注意的是,數據管理員并不像IT部門那樣關心數據。
     
    只有數據的所有者才知道應該如何管理數據,以及他們的行業在個人可識別信息(PII)方面需要遵循的合規性要求。因此,其首要任務是為數據類建立數據所有者。
     
    通過這樣做,數據管理員需要確保為最終數據所有者提供有關如何維護、管理、治理和保護數據的數據策略。盡管有隱私類型,但在這里關注的是安全性、道德、隱私。Constellation公司的Hinchcliffe表示,保證數據安全的第一步是在組織內建立授權,然后集中足夠的資源來做任何事情。這樣,治理、隱私、安全政策就可以得到充分的制定和實施。
     
    在這里,重要的是要采取一種非侵入性的數據治理方法。這種方法的前提是企業已經在管理數據,但是他們以非正式的方式管理數據,從而導致數據管理方式的效率低下或無效。
     
    這是一個有效的數據治理程序,旨在對有關數據收集、創建、定義、對齊、優先級排序、監視和執行的規則進行整理。這其中包括數據治理規則和數據定義的創建。對于個人可識別信息(PII)尤其如此。
     
    在這里要確定誰可以查看或修改數據。在流程方面,數據治理至少包括以下步驟:1)數據規則和定義;2)決策規則;3)責任;4)控制;5)數據利益相關者;6)數據管理人員;7)數據處理。
     
    在建立數據規則和流程后,首席信息安全官和首席數據官可以實施下一階段,進入步驟2。
     
    步驟2:資料發現
     
    令人悲哀的是,很多企業不知道他們擁有什么數據,甚至不知道數據位于何處。其中包括個人可識別信息(PII)。
     
    因此,這一步驟全部與數據發現有關。首席信息官Martin Davis建議企業在實施第二個步驟時,對數據進行分類,在何處以及如何使用數據,因為無法管理自己不知道的內容。這是必不可少的步驟,因為即使出于保護數據、遵守隱私法規和治理的最佳意圖。在不知道存在公開的數據及其位置時,也無法進行保護。這一過程涉及發現、目錄和元數據創建,這是保護數據的關鍵功能。在發現過程可以自動發現潛在的個人可識別信息(PII)的情況下尤其如此。
     
    步驟3:保護數據
     
    在步驟3中,將策略應用于敏感數據(在數據目錄中!),以便其他人知道如何/不能使用該數據。其目標應該是保護移動的數據和靜止的數據。
     
    為了實現這一點,采用多種數據保護技術。在這里,除了數據庫加密之類的粗粒度控制之外,還必須執行這些操作。這些類型的方法容易受到數據庫網絡釣魚事件的影響。此外,加密只保護和鎖定那些沒有憑據的數據。這在許多層面上都是有問題的。
     
    令人悲哀的是,企業需要在內部和外部保護其數據。這就要求數據訪問者具有不同的訪問權限,并符合隱私規則。表格、行和列的粗粒度加密處于打開或關閉狀態。
     
    這確實適用于企業想要防止網絡攻擊的場景。粗粒度加密只會保護企業免受外部的影響,并且只有在尚未獲得員工憑據的情況下才可以。
     
    事實上,即使已經通過加密進行了數據保護,也需要授權(誰可以訪問什么)。加密主要有助于防止存儲設備/磁盤和數據包嗅探器被盜。
     
    與此同時,企業需要能夠使用數據來創建業務創新和發展所需的見解。例如,在大數據中,其目標不應妨礙數據集成或保護客戶隱私權的法規要求。這意味著數據應可用于執行分析和關鍵業務流程。但是與此同時,非公開的個人身份信息應該受到保護,使其免受沒有授權使用的內部或外部各方的侵害。
     
    與其相反,細粒度的控制包括授權、屏蔽、角色加密。這使企業可以防御內部和外部威脅。這使企業可以控制人們可以通過角色、人員或數據看到的內容。這樣可以實現更加智能化、以動態數據為中心、以人為中心的數據保護。
     
    此外,有效的數據管理應利用化名來代替數據主體的身份,以便需要其他信息來重新識別數據主體。這些附加信息應與人員、角色、數據本身有關。
     
    為了符合ISO 27001的標準,需要采用一種技術途徑,不僅可以智能地保護數據的訪問,而且還保護移動中的數據。進行這項工作需要與數據一起移動的數據規則。這種集中治理和化名,可以在數據到達的任何地方進行保護。
     
    通過醫療保健行業中的實例可以理解這種方法的強大功能?;颊呖赡芟Mt生了解其全部病歷資料,但并不希望他可以查看患者的財務記錄。
     
    結語
     
    總之,在首席信息安全官和首席數據官之間進行協調需要這3個步驟。這是兩個職能部門都獲得業務信譽的良好機會。但問題仍然存在:他們是否準備好攜手合作,為企業和客戶創造一個更好、更安全的世界?
     
    版權聲明:本文為企業網D1Net編譯,轉載需注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。

    關鍵字:首席信息安全官 首席數據官 數字化轉型

    原創文章 企業網D1Net

    首席信息安全官如何不錯過與首席數據官的合作機會? 掃一掃
    分享本文到朋友圈

    關于我們聯系我們版權聲明友情鏈接廣告服務會員服務投稿中心招賢納士

    企業網版權所有©2010-2021 京ICP備09108050號-6

    ^
    男人又硬又粗桶女人免费视频 <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <蜘蛛词>| <文本链> <文本链> <文本链> <文本链> <文本链> <文本链>