隨著網絡攻擊面的擴大、供應鏈攻擊的頻繁發(fā)生以及向云的轉移，數據安全比以往任何時候都更加重要。根據IBM Security 發(fā)布的2023 年數據泄露成本報告， 2023 年全球數據泄露平均成本達到 445 萬美元，創(chuàng)下歷史新高。

在本文中，您將了解數據安全的主要原則，并了解適用于大多數行業(yè)的 10 種數據安全最佳實踐。

數據威脅和維護數據安全的好處 

什么是數據安全？ 

數據安全是旨在保護組織敏感資產的流程和工具的組合。有價值的數據在靜態(tài)和傳輸過程中都必須受到保護。安全官員應考慮的數據安全的其他方面是安全的數據創(chuàng)建和使用。

10 個數據安全最佳實踐：保護數據的簡單方法

有效的數據安全措施包括實施實時監(jiān)控并對任何可疑事件快速做出反應，使您的數據能夠抵御欺詐活動。

為什么數據安全如此重要以至于當局和監(jiān)管機構不斷提出新的數據安全要求？

強大的數據安全性的主要好處

讓我們看一下組織中高級數據安全性的主要優(yōu)勢：

1. 保護信息— 了解您的信息受到保護，免受內部和外部威脅，可以讓您高枕無憂。因此，您將有更多時間專注于業(yè)務策略，而不必擔心數據泄漏。2. 增強聲譽——尋求長期合作的組織和企業(yè)總是密切關注潛在合作伙伴的聲譽。應用可靠的數據保護實踐還可以激發(fā)客戶的信任。

3. 遵守數據安全要求——實施適當的安全措施可以確保遵守數據安全要求。這將幫助您的組織避免因違規(guī)而遭受巨額罰款。

4. 減少訴訟 費用——預防事件發(fā)生總是比處理事件后果更具成本效益。您在數據安全上花費的時間和精力越多，用于控制潛在事件并從中恢復的費用就越少。

5. 增強業(yè)務連續(xù)性——強大的數據安全實踐有助于不間斷運營，降低業(yè)務中斷的風險，從而降低收入損失。

哪些數據需要保護？

要了解哪些數據面臨風險，我們首先看一下最常被盜的數據類型：

您組織的敏感數據必須根據您所在行業(yè)和司法管轄區(qū)的相關法律法規(guī)進行保護。

在下表中，您可以看到一些最常被泄露的敏感數據類型以及管理其保護的法律、標準和法規(guī)：

需要考慮的其他 IT 標準包括NIST 800-53、NIST 800-171和ISO 27000 系列。

企業(yè)數據面臨的主要威脅

沒有任何系統能夠 100% 免受錯誤配置、內部威脅和網絡攻擊的影響。組織的敏感數據可能會丟失、損壞或被錯誤的人獲取。

以下是組織的數據或系統可能面臨的主要威脅：

在本文中，我們重點關注內部人為威脅，因為甚至許多外部網絡攻擊也可能僅由于員工的行為而發(fā)生——根據Verizon 的2023 年數據泄露調查報告， 74% 的數據泄露都包含人為因素。

為了了解數據如何被泄露，讓我們回顧一下內部人員造成的數據泄露的幾個例子：

• 人為錯誤和疏忽——合法用戶可能由于網絡安全方面的疏忽、注意力不集中、疲勞和其他人為因素而犯下各種錯誤。

2021 年春季，達拉斯警察局的一名員工意外刪除了超過 800 萬個文件。該數據對于 17,000 多起暴力案件至關重要。被刪除的信息包括 23 TB 的音頻、視頻、照片和案例說明。

• 惡意內部人員——內部用戶可能為了自身利益而故意竊取、損壞或銷毀組織的數據。

2021年1月，賓夕法尼亞州Elliott Greenleaf律師事務所的四名律師竊取了他們公司的大量文件。經過四個月的周密規(guī)劃，數據已轉移到他們的云帳戶中。被盜數據包含該公司的工作產品、記錄、信件、訴狀和客戶群。

• 權限濫用——具有提升權限的用戶可能會進行各種類型的敏感數據濫用或不當數據處理。

2021 年 4 月，Proofpoint 的一名銷售主管將公司數據上傳到他的 USB 拇指驅動器，并據稱將被盜數據轉移給該公司的競爭對手 Abnormal Security。這些數據包括重要的貿易信息和競爭策略。

• 第三方威脅— 數據安全威脅可能來自有權訪問組織敏感數據的合作伙伴、供應商和分包商。第三方也可以成為外部攻擊者的中間人，就像在某些供應鏈攻擊中一樣。

2021 年 5 月，沙特阿美公司 1 TB 的數據因受影響的第三方供應商而泄露。攻擊者索要 5000 萬美元的贖金以換取被盜數據。

上述所有威脅都可能危及您的敏感數據并擾亂您的業(yè)務運營：

但是，如果您及時發(fā)現并響應數據安全威脅，則可以有效減輕其后果。

如何保護組織的敏感數據？

為了回答這個問題，我們來看看保護數據的關鍵方法。根據Gartner 的說法，保護數據的四種主要方法是：

1. 加密——防止未經授權的人員讀取您的數據。

2. 屏蔽——通過用隨機字符替換敏感信息來抑制或匿名化高價值數據。您還可以用低價值的代表代幣替換數據；這種方法稱為標記化。

3. 數據擦除——涉及清理不再使用或不再活動的數據存儲庫。

4. 數據彈性 —涉及關鍵數據的完整備份、差異備份和增量備份。將有價值的數據存儲在不同位置有助于使其可恢復并能夠抵御不同的網絡安全威脅。

現在，是時候研究強大的數據安全背后的基本原則了。

核心數據安全原則和控制

機密性、完整性和可用性構成了CIA 三要素，這對于確保強大的數據保護至關重要：

保密性——保護數據免遭未經授權的訪問。

完整性——數據可靠且正確，敏感信息受到保護，防止非法更改。

可用性——所有合法用戶都可以輕松訪問數據。

為了遵守這三個原則，組織需要稱為數據安全控制的實用機制。這些是預防、檢測和響應威脅您寶貴資產的安全風險的對策。

我們下面的 10 項數據安全最佳實踐涵蓋了這些控制措施以及數據安全標準、法律和法規(guī)的主要合規(guī)性要求。

適合您組織的 10 大數據安全最佳實踐

雖然不同的企業(yè)、地區(qū)和行業(yè)可能需要不同的數據保護實踐，但我們選擇了適合大多數組織的最佳實踐。如果您想知道如何確保組織的數據安全，請遵循以下十大數據保護最佳實踐。

現在，讓我們詳細討論每種數據保護技術。

1. 定義您的敏感數據

在實施安全措施之前考慮檢查您的數據：

首先，評估數據的敏感性。數據敏感度分為三個級別：

低敏感度數據——公眾可以安全地查看或使用，例如網站上發(fā)布的一般信息。

中等敏感度數據——可以在組織內部共享，但不能與公眾共享。如果發(fā)生數據泄露，不會造成災難性后果。

高度敏感的數據——只能與有限的內部人員共享。如果受到損害或破壞，可能會對組織產生災難性影響。

檢查您的數據可見性級別。您是否始終可以查看或查看與您的敏感數據相關的所有操作？如果沒有，請多注意做法 6、8 和 10。

遵守這些做法可以幫助您確定優(yōu)先順序并專注于最需要保護的信息。

2. 制定網絡安全政策

第二項任務是組織所有網絡安全機制、活動和控制措施以形成工作策略。通過實施數據安全策略，使您組織的人力和技術資源有效支持您的數據安全工作：

為您的數據使用政策創(chuàng)建管理組織敏感數據的規(guī)則。它應包含員工、利益相關者和第三方處理數據時的指南。

對數據實施基于風險的方法。評估與組織中數據使用相關的所有風險以及數據弱點。然后，首先關注最高的風險。

定期數據庫審計可幫助您了解當前情況并為進一步的數據防御設定明確的目標。它們允許您跟蹤所有用戶操作并隨時查看詳細的元數據。

應用適當的補丁管理策略。這是修補公司環(huán)境內或代碼中的漏洞的步驟和規(guī)則列表。定期進行補丁并相應地記錄所有操作。 

徹底解雇員工，從監(jiān)控和記錄員工對關鍵資產的活動和操作，到完全撤銷訪問權限。 

此外，考慮任命一名數據保護官(DPO)，他將： 

• 控制數據安全要求的合規(guī)性 
• 就數據保護措施提出建議 
• 處理員工、提供商和客戶之間與安全相關的投訴 
• 處理安全故障 

3. 制定事件響應計劃 

事件響應計劃規(guī)定了及時處理網絡安全事件并減輕其后果的行動。您可以參考HIPAA、NIST 800-53、PCI DSS以及其他設定事件響應要求的標準、法律和法規(guī)。不要忘記： 

• 定義 安全事件、它們的變化以及它們對您的組織造成的后果的嚴重性 
• 選擇 負責處理事件的人員 
• 進行 安全審核，根據以前的事件改進您的計劃，并列出您的組織可能面臨的事件的擴展列表 
• 制定 溝通計劃以及發(fā)生事件時應通知的當局列表 

此外，創(chuàng)建數據恢復計劃以確保您的數據和系統可以在可能的事件發(fā)生后快速恢復。 

4. 確保數據存儲安全 

在實施其他數據保護實踐之前，請確保數據在各個級別都安全存儲：

小心存儲包含數據的物理介質。使用防水和防火的存儲介質很重要。此外，使用鎖閂鋼門和保安裝置保護您的數據。 

此外，請?zhí)貏e注意如何借助現代技術保護數據。我們已經討論過備份、加密、屏蔽和確認擦除作為安全存儲文件的四種主要數據安全方法。 

考慮部署USB 設備管理工具來保護設備上存儲的所有數據。保護移動設備上的信息和通過可移動存儲設備共享的數據。不要忘記能夠對包含敏感數據的設備上的可疑活動提供可見性和通知的解決方案。 

5. 限制對關鍵資產的訪問 

以徹底保護數據訪問為出發(fā)點：

物理訪問 控制通過數據庫的鎖定和回收、視頻監(jiān)控、各種類型的報警系統和網絡隔離來保護對數據服務器的訪問。他們還應確保從移動設備和筆記本電腦連接到服務器、計算機和其他資產的安全訪問。 

控制所有數據訪問點，并通過生物識別和多因素身份驗證實現高效的身份管理。密碼管理可幫助您自動創(chuàng)建和輪換密碼，并提高入口點的安全性。 

您還可以通過采用最小特權或即時特權訪問管理 (JIT PAM)原則來降低內部風險，該原則為在有限時間內真正需要特定任務的用戶提供特權訪問權限。 

不要忘記從任何設備和端點安全地訪問最關鍵的數據。遠程工作和混合工作模式的持續(xù)趨勢導致對安全訪問管理解決方案的需求不斷增加。

6.持續(xù)監(jiān)控用戶活動

考慮使用用戶活動監(jiān)控(UAM) 解決方案來增強組織的可見性。對所有有權訪問敏感信息的員工進行全面實時監(jiān)控還可能包括：

隨時查看與敏感數據相關的任何用戶會話并接收有關異常用戶活動的警報的能力可以幫助您保護與關鍵資產的交互。這樣，您將有更大的機會避免代價高昂的數據泄露。 

7. 管理第三方相關風險 

監(jiān)控 IT 基礎設施內第三方用戶的行為至關重要。第三方可能包括合作伙伴、分包商、供應商、供應商以及有權訪問您的關鍵系統的任何其他外部用戶。即使您信任第三方，他們的系統也有可能容易受到黑客攻擊和供應鏈攻擊。 

除了監(jiān)控第三方供應商在本地和云端的會話之外： 

• 確保 您清楚地了解第三方環(huán)境，并定義控制和處理數據的工作人員 
• 與第三方服務提供商簽署服務級別協議（SLA） 
• 要求定期問責，以確保維持數據安全標準 
• 與您的供應商合作提高共同安全

8.特別關注特權用戶

請記住，特權用戶擁有更高的權限來訪問和更改組織的敏感數據。特權帳戶和會話管理 (PASM)功能用于完全控制特權帳戶的訪問以及監(jiān)視、記錄和審核特權帳戶的會話。

考慮實施五個核心 PASM 功能：

10 個數據安全最佳實踐：保護數據的簡單方法

特權帳戶可能會因數據處理不當、特權濫用或數據誤用事件而構成最大的內部威脅。但簡單的解決方案和嚴格的控制可以減輕大部分風險。

9. 對所有員工進行數據安全風險教育

教育您的員工如何安全地處理公司資產以及如何識別惡意軟件和社交工程嘗試非常重要。

不要忘記提供新的培訓，以提供有關最新數據威脅形勢的最新信息。另外，考慮為新員工提供入門培訓。定期對員工和學員進行教育至關重要。

10 個數據安全最佳實踐：保護數據的簡單方法

根據以人為本的數據安全方法，員工在威脅緩解過程中發(fā)揮著重要作用。知識可以顯著減少與人員相關的數據泄露，并使安全措施對您的員工更加明顯。

10.部署專用數據安全軟件

考慮部署專門的數據保護解決方案來控制敏感數據的安全。實施安全軟件時，優(yōu)先考慮具有以下功能的解決方案：

• 用戶活動監(jiān)控 
• 自動訪問管理 
• 安全事件通知 
• 審計和報告 
• 密碼管理 

此外，您可能需要確保從一處查看各種類型的設備和端點。部署太多不同的工具和解決方案并不總是有效，因為它會減慢 IT 和安全管理流程、增加開支并使維護復雜化。 

結論

數據安全旨在保護數據在創(chuàng)建、存儲、管理和傳輸過程中的安全。內部人員可能會故意違反安全規(guī)則、數據處理不當或帳戶遭到泄露，從而給組織的數據帶來風險。

本文翻譯自：https://www.ekransystem.com/en/blog/data-security-best-practices如若轉載，請注明原文地址