根據Gemalto統計,2003年以來,全球有91億9858萬條數據被盜或者丟失,每小時丟失207849條記錄,每秒鐘丟失58條記錄。
其中,風險程度最高的數據泄漏事件有:
假如您是CIO,有必要居安思危,防患於未然。面對如此巨大的數據安全之威脅,企業若想領先於***者一步, 並更有效地保護自己的底線,就需要 一個全新的數據安全思維框架(MINDSET).
數據安全的新思維
單純的預防泄漏已經失敗了Gemalto 2017年H1的泄漏指數顯示,數據泄露對組織來說是一個日益嚴重的威脅。考慮到許多組織爲了保護他們的數據而花費的時間和精力,受損的記錄數量顯然讓人瞠目結舌。如果組織想領先***者,並且在未來更有效地保護他們的知識產權、數據、客戶信息、員工以及他們的底線以防止數據泄露,那麼顯然需要一個全新的數據安全方法。
安全在IT總支出中所佔的份額越來越大,但針對數據泄露疫情的安全措施根本上沒有改善。企業並沒有根據當前的現實投資於安全,而是以過去的現實爲基礎進行投資:在過去的時代,***是追求榮譽光環的破壞者,敏感數據是集中的,企業的邊緣是在位置已知的桌面PC。在這個過去的現實中,網絡防火牆和其他網絡邊界的“防範”技術已經足夠好了。不幸的是,在數據是分佈式存放並常常跨越企業邊界的今天,昨天“足夠好”的安全方法已經過時了,***,無論是熟練的犯罪分子還是內部人員 ,無論是惡意的還是偶然的 ,都對數據安全持續構成威脅。網絡周邊安全技術沒有任何問題 ,它們是一個額外的保護層。問題在於,現在很多企業還依靠它們作爲信息安全戰略的基礎,實際上,預防數據泄漏事件絕不是那麼簡單的一件事情。令人驚訝的是,市場趨勢表明,大部分組織都沒有改變這種“依賴”的計劃。根據IDC的數據,2016年在安全技術上花費379億美元的企業中,超過30%(114億美元)被投入了網絡周邊安全。
從預防數據泄漏到接受數據泄漏泄漏指數表明,在過去幾年裏,數據泄露的頻率和規模都在不斷增加。從定義上來說,防範泄漏對於防範網絡犯罪來說是一個不相干的策略。另外,每個組織在競爭環境中都有潛在的對手。且不論這些內部威脅不僅會招致公然的數據濫用,更不能防止粗心大意帶來的意外事故。即使是非惡意的行爲,例如通過電子郵件帳戶把工作帶回家裏,丟失設備,在USB上存儲數據以及供應商在不知不覺中共享網絡登錄憑據和密碼等,都可能無辜地泄漏掉一些敏感數據。 在當今的環境下,任何安全戰略的核心都需要從“防範泄漏”轉變爲“接受泄漏”, 而且,從泄漏接受的角度來看待安全時,世界變成了一個相對簡單的地方:保護數據,而不是周邊設備,是重中之重。在雲計算、虛擬化和移動設備導致***面呈指數級增長的世界裏,保護數據是一個極具挑戰性的命題。許多組織可能傾向於用“遏制”策略來解決這個問題 —即限制數據可以去的地方,只允許有限的人訪問。然而,這種“否定”的策略 - 即以限制數據訪問和限制移動爲基礎的安全性 - 違背了當初技術賦能我們的初衷。如果我們理解移動互聯網和共享數據是商業成功的基礎的話,今天的任務就是務必要建立一個更加主動且有所作爲的安全戰略。 從接受泄漏到保護數據改變心態說起來容易,在組織內部實施新的安全策略卻困難重重。沒有一個“一刀切”的辦法,或能醫治百病的一劑靈丹妙藥,能夠實現“數據保護”的理想,但每個公司都應該採取三個步驟來降低安全漏洞導致的損失並回避不利後果,他們是控制用戶的訪問和認證,對所有敏感數據進行加密(無論是靜態的還是動態的),安全地管理和存儲您的所有密鑰。通過將這三個步驟分別實施到您的IT基礎架構中,企業可以有效地應對數據泄漏,避免成爲受害者。你的網絡能否被侵入已經不是一個問題了,唯一的問題是什麼時候將被***。隨着業務增長的速度不斷加快,新的技術不斷被部署,新的更加複雜的尖端***不斷被啓動,您的業務遭到******只是時間問題。 保護數據三步驟
- 加密數據
找到敏感數據所在的位置,對其進行加密。無論數據是在物理網絡、虛擬化環境、雲端還是在運動中,加密都會隱藏並保護重要的信息。
- 存儲和管理密鑰
沒有一個加密管理平臺,您就無法安全地加密數據。密鑰應該存儲在遠離任何加密數據的保險櫃裏,然後建立一個流程來實現限制訪問、撤銷、輪換和重新發布密鑰。
- 控制用戶訪問
確定誰有權訪問數據,實現用戶的強制認證,並建立驗證過程。定義用戶訪問級別,並自動設置和管理用戶和令牌。
對於第三個步驟,最容易被決策人士忽略的還有一環,就是最後一公里的用戶訪問控制。當邊緣設備使用了四年以後,硬盤上積累了大量的敏感數據。公司淘汰這些舊電腦時,9成以上的用戶沒有徹底進行數據擦除,這些數據被其他用戶通過特殊方式恢復出來,就造成了所謂的不適當的用戶訪問,泄漏由此發生。我們強烈建議所有的公司在更換電腦的時候,務必對硬盤數據進行擦除(絕對不是格式化哦)。數據擦除是一項專業性很強的工種,最好由專業的公司操作。
#databreach#數據泄漏#保護數據#數據加密#GDPR#CIO