大多数人都非常关注《隐私工程师宣言》一书作者所说的“访问阶段保护”。Constellation研究公司分析师DionHinchcliffe说,“不幸的事实是,安全没有边界。人们再也无法信任任何事物,即使在外围也是如此。任何人可以连接全球互联网,网络攻击者也可以攻击所有人。”
前首席信息官WayneSadin对此表示认同,他说:“我特别不喜欢‘外围’,因为这意味着‘内部=安全,外部=危险’”。他表示,尽管访问阶段保护仍然是安全架构的重要组成部分,但首席信息安全官仍有机会做更多的事情,可以与首席数据官开展合作,以保护其所在公司及其数据的真正价值。
采取这一步骤的原因是,正如首席信息安全官所知道的那样,网络攻击者变得越来越老练。他们有些并不强行攻击企业防火墙,而是找到众所周知的窗口。他们这样做的目的是针对控制数据库访问权限的数据库,并使用网络钓鱼和其他攻击技术来获取企业的客户数据,网络攻击者因此可以访问企业的客户数据库中的所有内容。
安全教育仍然很重要,那么有一个问题是:首席信息安全官和首席数据官为什么不积极保护其公司数据?
这是建立合作伙伴关系的一个绝佳机会,因为首席信息安全官可以利用首席数据官的数据知识和治理技能,而首席数据官可以利用首席信息安全官的内部和外部威胁知识。
系统化的数据治理
保护数据的核心要素是使数据治理实现系统化。有了数据治理,任何人(无论职位或级别多高)都不应该有权访问所有数据。需要的是建立一些安全原则和流程,将控制和信息构建到流程、系统、组件和产品中,以实现对个人信息的授权、公平和合法处理。
具体来说,其合作机会是为个人可识别信息(PII)建立数据治理,并遵守ISO27001标准。企业首席信息安全官和首席数据官目前应该面临的问题是,如何做好这一点,特别是在传统企业中。
为此建议企业执行以下三个步骤:
步骤1:建立数据管理
一切都需要从数据管理开始。需要注意的是,数据管理员并不像IT部门那样关心数据。
只有数据的所有者才知道应该如何管理数据,以及他们的行业在个人可识别信息(PII)方面需要遵循的合规性要求。因此,其首要任务是为数据类建立数据所有者。
通过这样做,数据管理员需要确保为最终数据所有者提供有关如何维护、管理、治理和保护数据的数据策略。尽管有隐私类型,但在这里关注的是安全性、道德、隐私。Constellation公司的Hinchcliffe表示,保证数据安全的第一步是在组织内建立授权,然后集中足够的资源来做任何事情。这样,治理、隐私、安全政策就可以得到充分的制定和实施。
在这里,重要的是要采取一种非侵入性的数据治理方法。这种方法的前提是企业已经在管理数据,但是他们以非正式的方式管理数据,从而导致数据管理方式的效率低下或无效。
这是一个有效的数据治理程序,旨在对有关数据收集、创建、定义、对齐、优先级排序、监视和执行的规则进行整理。这其中包括数据治理规则和数据定义的创建。对于个人可识别信息(PII)尤其如此。
在这里要确定谁可以查看或修改数据。在流程方面,数据治理至少包括以下步骤:1)数据规则和定义;2)决策规则;3)责任;4)控制;5)数据利益相关者;6)数据管理人员;7)数据处理。
在建立数据规则和流程后,首席信息安全官和首席数据官可以实施下一阶段,进入步骤2。
步骤2:资料发现
令人悲哀的是,很多企业不知道他们拥有什么数据,甚至不知道数据位于何处。其中包括个人可识别信息(PII)。
因此,这一步骤全部与数据发现有关。首席信息官MartinDavis建议企业在实施第二个步骤时,对数据进行分类,在何处以及如何使用数据,因为无法管理自己不知道的内容。这是必不可少的步骤,因为即使出于保护数据、遵守隐私法规和治理的最佳意图。在不知道存在公开的数据及其位置时,也无法进行保护。这一过程涉及发现、目录和元数据创建,这是保护数据的关键功能。在发现过程可以自动发现潜在的个人可识别信息(PII)的情况下尤其如此。
步骤3:保护数据
在步骤3中,将策略应用于敏感数据(在数据目录中!),以便其他人知道如何/不能使用该数据。其目标应该是保护移动的数据和静止的数据。
为了实现这一点,采用多种数据保护技术。在这里,除了数据库加密之类的粗粒度控制之外,还必须执行这些操作。这些类型的方法容易受到数据库网络钓鱼事件的影响。此外,加密只保护和锁定那些没有凭据的数据。这在许多层面上都是有问题的。
令人悲哀的是,企业需要在内部和外部保护其数据。这就要求数据访问者具有不同的访问权限,并符合隐私规则。表格、行和列的粗粒度加密处于打开或关闭状态。
这确实适用于企业想要防止网络攻击的场景。粗粒度加密只会保护企业免受外部的影响,并且只有在尚未获得员工凭据的情况下才可以。
事实上,即使已经通过加密进行了数据保护,也需要授权(谁可以访问什么)。加密主要有助于防止存储设备/磁盘和数据包嗅探器被盗。
与此同时,企业需要能够使用数据来创建业务创新和发展所需的见解。例如,在大数据中,其目标不应妨碍数据集成或保护客户隐私权的法规要求。这意味着数据应可用于执行分析和关键业务流程。但是与此同时,非公开的个人身份信息应该受到保护,使其免受没有授权使用的内部或外部各方的侵害。
与其相反,细粒度的控制包括授权、屏蔽、角色加密。这使企业可以防御内部和外部威胁。这使企业可以控制人们可以通过角色、人员或数据看到的内容。这样可以实现更加智能化、以动态数据为中心、以人为中心的数据保护。
此外,有效的数据管理应利用化名来代替数据主体的身份,以便需要其他信息来重新识别数据主体。这些附加信息应与人员、角色、数据本身有关。
为了符合ISO27001的标准,需要采用一种技术途径,不仅可以智能地保护数据的访问,而且还保护移动中的数据。进行这项工作需要与数据一起移动的数据规则。这种集中治理和化名,可以在数据到达的任何地方进行保护。
通过医疗保健行业中的实例可以理解这种方法的强大功能。患者可能希望医生了解其全部病历资料,但并不希望他可以查看患者的财务记录。
结语
总之,在首席信息安全官和首席数据官之间进行协调需要这3个步骤。这是两个职能部门都获得业务信誉的良好机会。但问题仍然存在:他们是否准备好携手合作,为企业和客户创造一个更好、更安全的世界?