信息化觀察網(wǎng)

Alation公司解決方案營銷總監(jiān)Myles Suer表示，近日與一家分析機(jī)構(gòu)的分析師在一次電話會議中討論了數(shù)據(jù)的安全性。分析師表示，大多數(shù)企業(yè)的首席信息安全官仍然專注于保護(hù)其企業(yè)業(yè)務(wù)免受外部入侵或危害，而不是保護(hù)其企業(yè)最有價(jià)值的資產(chǎn)(數(shù)據(jù))免受內(nèi)部和外部威脅。

大多數(shù)人都非常關(guān)注《隱私工程師宣言》一書作者所說的“訪問階段保護(hù)”。Constellation研究公司分析師Dion Hinchcliffe說，“不幸的事實(shí)是，安全沒有邊界。人們再也無法信任任何事物，即使在外圍也是如此。任何人可以連接全球互聯(lián)網(wǎng)，網(wǎng)絡(luò)攻擊者也可以攻擊所有人。”

前首席信息官Wayne Sadin對此表示認(rèn)同，他說：“我特別不喜歡‘外圍’，因?yàn)檫@意味著‘內(nèi)部=安全，外部=危險(xiǎn)’”。他表示，盡管訪問階段保護(hù)仍然是安全架構(gòu)的重要組成部分，但首席信息安全官仍有機(jī)會做更多的事情，可以與首席數(shù)據(jù)官開展合作，以保護(hù)其所在公司及其數(shù)據(jù)的真正價(jià)值。

采取這一步驟的原因是，正如首席信息安全官所知道的那樣，網(wǎng)絡(luò)攻擊者變得越來越老練。他們有些并不強(qiáng)行攻擊企業(yè)防火墻，而是找到眾所周知的窗口。他們這樣做的目的是針對控制數(shù)據(jù)庫訪問權(quán)限的數(shù)據(jù)庫，并使用網(wǎng)絡(luò)釣魚和其他攻擊技術(shù)來獲取企業(yè)的客戶數(shù)據(jù)，網(wǎng)絡(luò)攻擊者因此可以訪問企業(yè)的客戶數(shù)據(jù)庫中的所有內(nèi)容。

安全教育仍然很重要，那么有一個(gè)問題是：首席信息安全官和首席數(shù)據(jù)官為什么不積極保護(hù)其公司數(shù)據(jù)?

這是建立合作伙伴關(guān)系的一個(gè)絕佳機(jī)會，因?yàn)槭紫畔踩倏梢岳檬紫瘮?shù)據(jù)官的數(shù)據(jù)知識和治理技能，而首席數(shù)據(jù)官可以利用首席信息安全官的內(nèi)部和外部威脅知識。

系統(tǒng)化的數(shù)據(jù)治理

保護(hù)數(shù)據(jù)的核心要素是使數(shù)據(jù)治理實(shí)現(xiàn)系統(tǒng)化。有了數(shù)據(jù)治理，任何人(無論職位或級別多高)都不應(yīng)該有權(quán)訪問所有數(shù)據(jù)。需要的是建立一些安全原則和流程，將控制和信息構(gòu)建到流程、系統(tǒng)、組件和產(chǎn)品中，以實(shí)現(xiàn)對個(gè)人信息的授權(quán)、公平和合法處理。

具體來說，其合作機(jī)會是為個(gè)人可識別信息(PII)建立數(shù)據(jù)治理，并遵守ISO 27001標(biāo)準(zhǔn)。企業(yè)首席信息安全官和首席數(shù)據(jù)官目前應(yīng)該面臨的問題是，如何做好這一點(diǎn)，特別是在傳統(tǒng)企業(yè)中。

為此建議企業(yè)執(zhí)行以下三個(gè)步驟：

步驟1：建立數(shù)據(jù)管理

一切都需要從數(shù)據(jù)管理開始。需要注意的是，數(shù)據(jù)管理員并不像IT部門那樣關(guān)心數(shù)據(jù)。

只有數(shù)據(jù)的所有者才知道應(yīng)該如何管理數(shù)據(jù)，以及他們的行業(yè)在個(gè)人可識別信息(PII)方面需要遵循的合規(guī)性要求。因此，其首要任務(wù)是為數(shù)據(jù)類建立數(shù)據(jù)所有者。

通過這樣做，數(shù)據(jù)管理員需要確保為最終數(shù)據(jù)所有者提供有關(guān)如何維護(hù)、管理、治理和保護(hù)數(shù)據(jù)的數(shù)據(jù)策略。盡管有隱私類型，但在這里關(guān)注的是安全性、道德、隱私。Constellation公司的Hinchcliffe表示，保證數(shù)據(jù)安全的第一步是在組織內(nèi)建立授權(quán)，然后集中足夠的資源來做任何事情。這樣，治理、隱私、安全政策就可以得到充分的制定和實(shí)施。

在這里，重要的是要采取一種非侵入性的數(shù)據(jù)治理方法。這種方法的前提是企業(yè)已經(jīng)在管理數(shù)據(jù)，但是他們以非正式的方式管理數(shù)據(jù)，從而導(dǎo)致數(shù)據(jù)管理方式的效率低下或無效。

這是一個(gè)有效的數(shù)據(jù)治理程序，旨在對有關(guān)數(shù)據(jù)收集、創(chuàng)建、定義、對齊、優(yōu)先級排序、監(jiān)視和執(zhí)行的規(guī)則進(jìn)行整理。這其中包括數(shù)據(jù)治理規(guī)則和數(shù)據(jù)定義的創(chuàng)建。對于個(gè)人可識別信息(PII)尤其如此。

在這里要確定誰可以查看或修改數(shù)據(jù)。在流程方面，數(shù)據(jù)治理至少包括以下步驟：1)數(shù)據(jù)規(guī)則和定義;2)決策規(guī)則;3)責(zé)任;4)控制;5)數(shù)據(jù)利益相關(guān)者;6)數(shù)據(jù)管理人員;7)數(shù)據(jù)處理。

在建立數(shù)據(jù)規(guī)則和流程后，首席信息安全官和首席數(shù)據(jù)官可以實(shí)施下一階段，進(jìn)入步驟2。

步驟2：資料發(fā)現(xiàn)

令人悲哀的是，很多企業(yè)不知道他們擁有什么數(shù)據(jù)，甚至不知道數(shù)據(jù)位于何處。其中包括個(gè)人可識別信息(PII)。

因此，這一步驟全部與數(shù)據(jù)發(fā)現(xiàn)有關(guān)。首席信息官M(fèi)artin Davis建議企業(yè)在實(shí)施第二個(gè)步驟時(shí)，對數(shù)據(jù)進(jìn)行分類，在何處以及如何使用數(shù)據(jù)，因?yàn)闊o法管理自己不知道的內(nèi)容。這是必不可少的步驟，因?yàn)榧词钩鲇诒Ｗo(hù)數(shù)據(jù)、遵守隱私法規(guī)和治理的最佳意圖。在不知道存在公開的數(shù)據(jù)及其位置時(shí)，也無法進(jìn)行保護(hù)。這一過程涉及發(fā)現(xiàn)、目錄和元數(shù)據(jù)創(chuàng)建，這是保護(hù)數(shù)據(jù)的關(guān)鍵功能。在發(fā)現(xiàn)過程可以自動發(fā)現(xiàn)潛在的個(gè)人可識別信息(PII)的情況下尤其如此。

步驟3：保護(hù)數(shù)據(jù)

在步驟3中，將策略應(yīng)用于敏感數(shù)據(jù)(在數(shù)據(jù)目錄中!)，以便其他人知道如何/不能使用該數(shù)據(jù)。其目標(biāo)應(yīng)該是保護(hù)移動的數(shù)據(jù)和靜止的數(shù)據(jù)。

為了實(shí)現(xiàn)這一點(diǎn)，采用多種數(shù)據(jù)保護(hù)技術(shù)。在這里，除了數(shù)據(jù)庫加密之類的粗粒度控制之外，還必須執(zhí)行這些操作。這些類型的方法容易受到數(shù)據(jù)庫網(wǎng)絡(luò)釣魚事件的影響。此外，加密只保護(hù)和鎖定那些沒有憑據(jù)的數(shù)據(jù)。這在許多層面上都是有問題的。

令人悲哀的是，企業(yè)需要在內(nèi)部和外部保護(hù)其數(shù)據(jù)。這就要求數(shù)據(jù)訪問者具有不同的訪問權(quán)限，并符合隱私規(guī)則。表格、行和列的粗粒度加密處于打開或關(guān)閉狀態(tài)。

這確實(shí)適用于企業(yè)想要防止網(wǎng)絡(luò)攻擊的場景。粗粒度加密只會保護(hù)企業(yè)免受外部的影響，并且只有在尚未獲得員工憑據(jù)的情況下才可以。

事實(shí)上，即使已經(jīng)通過加密進(jìn)行了數(shù)據(jù)保護(hù)，也需要授權(quán)(誰可以訪問什么)。加密主要有助于防止存儲設(shè)備/磁盤和數(shù)據(jù)包嗅探器被盜。

與此同時(shí)，企業(yè)需要能夠使用數(shù)據(jù)來創(chuàng)建業(yè)務(wù)創(chuàng)新和發(fā)展所需的見解。例如，在大數(shù)據(jù)中，其目標(biāo)不應(yīng)妨礙數(shù)據(jù)集成或保護(hù)客戶隱私權(quán)的法規(guī)要求。這意味著數(shù)據(jù)應(yīng)可用于執(zhí)行分析和關(guān)鍵業(yè)務(wù)流程。但是與此同時(shí)，非公開的個(gè)人身份信息應(yīng)該受到保護(hù)，使其免受沒有授權(quán)使用的內(nèi)部或外部各方的侵害。

與其相反，細(xì)粒度的控制包括授權(quán)、屏蔽、角色加密。這使企業(yè)可以防御內(nèi)部和外部威脅。這使企業(yè)可以控制人們可以通過角色、人員或數(shù)據(jù)看到的內(nèi)容。這樣可以實(shí)現(xiàn)更加智能化、以動態(tài)數(shù)據(jù)為中心、以人為中心的數(shù)據(jù)保護(hù)。

此外，有效的數(shù)據(jù)管理應(yīng)利用化名來代替數(shù)據(jù)主體的身份，以便需要其他信息來重新識別數(shù)據(jù)主體。這些附加信息應(yīng)與人員、角色、數(shù)據(jù)本身有關(guān)。

為了符合ISO 27001的標(biāo)準(zhǔn)，需要采用一種技術(shù)途徑，不僅可以智能地保護(hù)數(shù)據(jù)的訪問，而且還保護(hù)移動中的數(shù)據(jù)。進(jìn)行這項(xiàng)工作需要與數(shù)據(jù)一起移動的數(shù)據(jù)規(guī)則。這種集中治理和化名，可以在數(shù)據(jù)到達(dá)的任何地方進(jìn)行保護(hù)。

通過醫(yī)療保健行業(yè)中的實(shí)例可以理解這種方法的強(qiáng)大功能?；颊呖赡芟Ｍt(yī)生了解其全部病歷資料，但并不希望他可以查看患者的財(cái)務(wù)記錄。

結(jié)語

總之，在首席信息安全官和首席數(shù)據(jù)官之間進(jìn)行協(xié)調(diào)需要這3個(gè)步驟。這是兩個(gè)職能部門都獲得業(yè)務(wù)信譽(yù)的良好機(jī)會。但問題仍然存在：他們是否準(zhǔn)備好攜手合作，為企業(yè)和客戶創(chuàng)造一個(gè)更好、更安全的世界?