本文来自微信公众号安全牛。
数据显示,全球企业组织每年在数据安全防护上投入的资金已经超过千亿美元,但数据安全威胁态势依然严峻,其原因在于企业将更多资源投入到数据安全能力建设时,却忽视了这些工作本身的科学性与合理性。因此,企业在实施数据安全保护工作之前,需要首先制定一份积极、有效的数据安全防护策略,并按策略要求指导组织的数据安全防护能力建设,这对保障数据安全防护效果至关重要。
为了更好地保护在数据安全方面的投资,企业组织应该参考以下10个关键要素,提前制定出一份成功、高效的数据安全保护策略。
图:数据安全保护策略的关键属性与核心要素
1
覆盖数据全生命周期的安全性
数据生命周期的安全性包括了从数据的创建、存储、归档到销毁的过程,是现代企业组织数据安全保护策略的基本组成部分,并应定期进行审查,以确保持续进行的和计划中的数据保护活动与生命周期同步。随着组织生成的数据量不断增加,数据全生命周期管理变得越来越重要。
2
开展数据风险管理
在制定数据保护策略时,有效识别和评估数据的风险态势是至关重要的,因为该策略能够最大限度地减少数据安全事件发生的可能性,并减轻对相关数据安全事件的破坏程度。因此,组织应该定期对数据和信息威胁环境进行风险评估,确保采取最适合的预防、检测、响应和缓解技术。
3
做好数据备份和恢复
一个成功的数据安全保护策略必须要包含数据存储管理相关的规划,包括如何将生产数据安全地移入数据存储库相关的所有活动,无论是在本地网络、云端还是第三方服务提供商环境中。一旦数据被创建,就应该首先将其备份到安全和受保护的地方以供使用。当需要数据时,恢复过程会将其从安全存储或归档中释放出来,验证其是否可以使用。这些活动也是业务连续性和灾难恢复(BCDR)计划的关键组成部分,能够帮助组织在破坏性事件后恢复并恢复运营状态。
4
明确并保护数据的所有权
在数字化时代,数据成为新型战略性资源,而明确对数据资产的所有权则是企业组织未来收集、占有、使用、开发数据资源的话语依据。因此组织有必要制定一项保护数据所有权的保护政策,以确保其不受内部或外部攻击的损害。数据的保密性、完整性和可用性是数据保护的核心需求,因此也应该成为组织数据安全保护策略的基本属性。
5
加强对勒索软件攻击的防护
研究数据显示,勒索软件攻击已经成为危害组织数据安全的头号威胁。这种攻击不仅会阻断用户对数据的访问,还会通过窃取数据和公开数据来造成更多的伤害。因此,部署强大的反勒索软件系统是组织数据安全保护活动的关键组成部分,可以预防和阻止其对关键数据资产和应用系统的攻击破坏。
6
可靠的数据访问管理与控制
组织实现数据安全的前提就是要安全地访问和使用数据。数据访问管理和控制措置是否可靠,这是IT系统审计时的重要审查内容,也是数据安全保护策略中最重要的组成部分之一。需要说明的是,尽管组织对先进的身份验证技术越来越感兴趣,但密码技术仍被广泛使用以防止未经授权的数据访问。而且,各种密码管理工具也一直在不断改进完善。
7
符合标准和法规监管要求
保证安全合规性在组织的数据安全保护策略中都是必不可少的,并且应该作为审计过程的一部分进行审查。组织的数据安全保护政策可以是一个独立的规划,也可以嵌入到更大的网络安全管理策略中。一个成功的数据安全保护策略必须要符合并遵守现有监管法规、法律和相关标准的要求,包括欧盟的GDPR,以及我国的《网络安全法》、《数据安全法》、《个人信息保护法》等。
8
加强员工数据安全保护意识培养
一个成功的数据安全保护策略必须要超越网络安全技术本身,它应该教育所有员工了解他们的数据是如何受到保护的,以及他们对确保数据安全承担的责任。对于那些负责数据保护的员工必须接受足够的培训,以有效地履行他们的工作。组织在启动数据保护策略和计划之前,高级管理层必须了解并批准该计划,同时要定期汇报策略落地执行的情况,确保高级管理层充分了解组织的数据和信息始终得到了有效管理和保护。
9
定期审计和评估
为确保组织的数据安全保护策略及所有相关的数据安全管理计划能够被正确执行,必须定期对其应用情况进行检查、评估和审计,这一点尤其重要。所有政策、程序、活动和事件的文档记录是必不可少的。良好组织的数据管理计划应该要求持续监控数据创建、传输、存储、归档和销毁的所有方面。通过分析日志和其他存储库中的数据,审计人员可以提供关于数据保护和管理控制的重要证据。
10
通过测试演练持续改进
定期对数据保护计划活动进行测试和演练,如数据备份和恢复、数据访问管理以及网络安全防护活动,可以确保这些重要计划的正常运行,并确保执行这些计划的员工了解其角色和责任。这些活动也是业务连续性和灾难恢复(BCDR)计划的一部分,并为IT审计人员提供重要的证据。组织必须定期审查和持续改进数据保护及其相关活动,以符合现有和新的法规、立法和良好实践,并为用户生成最高水平的信心,确保其敏感数据和敏感信息得到保护。