计世网

说好不哭,企业生命线由CIO来守护!
作者:Myles Suer | 来源:计算机世界
2019-09-20
保护数据只会变得越来越困难。首席信息官们准备好保护最重要的企业资产了吗?

 


Michelle Finneran Dennedy在其著作《隐私工程师宣言》中描述了信息时代保护数据的五个阶段

如果数据是企业的生命线,那么企业应怎样保护它呢。

问题是,在保护数据的过程中,首席信息官应怎样定位自己?

首席信息官是否应该专注于

打造更坚固的堡垒?

首席信息官们显然有两种截然不同的观点。有人认为,堡垒虽然是过去的思维模式,但它仍然很重要。他们认为堡垒代表了第一道防线,但也必须对访问权限和使用进行限制。

这些首席信息官们断言,如果只是为了阻止垃圾流量和DDoS数据流,那么不应该完全放弃自己的边界,边界是基础这些首席信息官们认为,IT部门在今后要进一步做好数据安全和访问权限方面的工作。他们接着说,堡垒必须坚固,但在保护企业的整个链条上,人员部分是最薄弱的环节。如果有人得到了员工的凭证,特别是如果他们拿到了员工的手机,并且破解了弱密码,那么他们就能攻破多重身份验证。堡垒就在这里被摧毁了。

然而,其他首席信息官们则认为堡垒思维类似于“法国马其诺防线”。这些首席信息官们指出,堡垒式的安全注定要失败。他们认为传统的安全模式就像蛋壳。当从两端按压时,它们很结实,但挤压或者拉伸就会破裂。出于这个原因,他们认为历史上的堡垒已经被证明是失败的。

这些首席信息官们说,我们不应该再使用堡垒城墙了。尽管他们建议要保持边界干净,但他们说重点应转移到基于模式和行为的安全措施上。他们建议,IT领导们从当前的静态安全方法转向朝着更积极并且能持续评估的态势发展。这些首席信息官们认为数据安全与分类和使用特性有关。他们赞成数据所支持的应用程序应该是“设计上安全”。

这些首席信息官们把身份和访问管理视为边界代理。他们说,出于这一原因,在掌握了访问层和外部入口点的情况下,重要的是集中精力保护好数据。同时,他们认为现在不应该只是紧紧抓住数据不放了。他们说,我们不但要保护数据,同时还要通过适当的API为相应的人群提供数据。他们相信,保护措施越是严格,越是有更多的数据泄露出去。

想要做好与数据相关的治理和网络安全工作显然很难,但这正是它吸引人并且富有挑战性的原因。这些首席信息官们认为我们都接受这样一个事实,即,没有办法把所有人一直都挡在外面。因此,在不安全的环境中保护数据,归根结底就是怎样控制好具有访问权限的人的访问。

鉴于此,相应地管理风险是很重要的。一般来说,首席信息官们对不同层级加密方法以及每层的安全监控/监视措施感到满意。此外,他们也同意不同的用户——合作伙伴、用户或者消费者,应该具有不同的可信级别,按照一定规则去访问数据。顺便提一下,一位首席信息官说,他们听说有一位首席信息官开始拆除防火墙,而且不采用更复杂的解决方案。他们认为这是违反直觉的,但有点意思。

首席信息官能通过端点监管

更好地保护数据吗?

首席信息官们说,采取零信任的立场非常重要,首先要考虑到一切都可能被攻破,但是,从哪里跌倒就从哪里爬起来。他们认为,像自带设备这样的东西,以及能通过不恰当的方式提取数据等,这些都意味着目前的方法是不行的。在每一次设计或者策略决策过程中,必须综合考虑可访问性和灵活性约束以及安全需求。

首席信息官坚信不能忽视端点的安全。他们说,工作要坚持下去,但应该建立在损失可承受的策略基础上。他们说,从保护源端数据开始,然后回到传送和设备级别上。IT部门应做好端点安全基础工作(管好管理密码,把它们放在单独的VLAN上,等等),但除此之外的“监管”工作成本可能会非常高,特别是对于小企业。

首席信息官认为,端点安全(以及传输中的加密)是必须的。检查SaaS和COTS,看看端点上的数据具有哪些高速缓存/保存/安全措施,这应该是该过程的一部分。一位首席信息官建议,传统的监管做不到这些,积极主动的监管是更好的解决方案。一位首席信息官说,从最小权限开始,但一定要验证数据流的真实性。

还有的首席信息官指出,除非所有的客户群、技术供应商和应用程序都在同一防火墙后面,否则端点监管本身无法阻止出现泄露事件。应采取数字权限管理、加密和访问控制措施。但是,要清楚在屏幕上是否能看到数据,实际上只需一部智能手机就可以捕获数据。

首席信息官们说,目前大部分成功的攻击都来自网络钓鱼和社会工程攻击,而不是由于技术漏洞造成的。因此,这需要新的方法。首席信息官们说,端点监管并不能防止社会工程攻击。所以,越来越重要的是能够通过加密和使用可以汇集和细分风险的工具来进行保护。一位教育行业的首席信息官表示,在企业中,对用户设备有很多的控制措施,但在高校,大部分终端设备都是自带设备。出于这个原因,他们说应在访问/权限层进行保护。总之,首席信息官说的是端点监管,而保护数据不同于此。

首席信息官应该怎样进行数据治理

才能真正保护数据?

首席信息官们说,数据治理是其核心所在。他们还说,最困难的可能是怎样得到一个持久可行的解决方案。然而,有了数据治理,就可以确定需求,使设计和架构正常工作。

首席信息官们认为,对IT领导来说,重要的是了解企业各部门。他们应定期评估部门需求,具备应变能力。这涉及到计划、执行和评估。首席信息官们欢迎的是能够加强和改进治理和管理工作的领导。此外,他们还应该知道数据治理并非一蹴而就,实际需要很长的时间。重要的是,首席信息官们认为企业必须拥有数据治理和管理权。否则,首席信息官将因此而失败。

开始对话的最好方法是让业务部门定义什么是最关键的,什么不重要,以及他们希望IT部门保护数据多长时间。IT部门不应该自己决定。此外,首席信息官们指出,IT领导应该让业务部门承担数据管理角色,并构建流程,以产生质量良好的数据。首席信息官们可以通过对数据进行智能分析来展示自己的价值。

在适当的情形下,优先级清理过程就是一个很好的例子。首席信息官们说,除了批准的业务流程外,其他所有业务流程都要删除社保号码,而且每年都要对这些号码进行审查。他们建议IT领导们应寻找机会来优化旧的流程。同时,暴露数据问题、选择数据所有者,然后实施数据治理也是非常重要的。

一般来说,首席信息官们认为,讨论数据治理会涉及很多技术术语。如果你想让业务领导参与进来,就必须避免这种情况。首席信息官们说,只有让合适的人参与进来才能确定哪些是需要的,哪些是已经存在的。这包括法律部门、记录管理、DBA、产品所有者和人力资源等。首席信息官们认为,重要的是要有了解数据和内容的信息治理专业人员,带领部门完成识别和保护数据资产的过程。

首席信息官们表示,数据检查非常重要,特别是当领导层要求他们的数据仓库必须井然有序时——因为有人可能会隐藏数据。鉴于此,首席信息官们应该与业务部门开展有关数据定义、类型和风险概况的对话。首席信息官们欢迎对这些问题有一些基本了解的业务领导。

一位首席信息官讲了一些令人惊讶的事情。他说,在很多行业中,很少有私有数据。考虑到这一点,他认为,把业务重点放在需要保护的事项上非常重要。首席信息官们也表示,IT领导应该记住,数据保护不是二元的——要么有要么没有。数据治理过程中总是要考虑到其他的行、字段、层次结构或者使用情景。

首席信息官们认为,是可用性和便利性推动了行为模式。如果很难保证数据安全,他们说会出现替代方法。从一开始就要确保数据所有者是解决方案的一部分,这一点很重要。对于一些首席信息官来说,迁移到云端是改变局面的好机会。他们认为,这是一个能更充分地使用越来越内置的安全功能和加密的机会。他们还认为这也是一个通过设计创造更好的端到端安全的机会。

同时,过程透明也很重要。很多部门发现了数据保护问题而不报告。一位首席信息官愤怒地指出,在最近进行的每一次安全审查中,他们都发现了由IT部门悄悄修复的漏洞,而业务领导对此毫不知情。

首席信息官怎样保证隐私受到保护?

首席信息官们说,作为数据治理的一部分,通常需要围绕使用数据的系统和应用程序开展设计。这需要政策、良好的意识和培训,才能投入战斗。

首席信息官们坚持应该把隐私保护设计到应用体验中。虽然GDPR是语义上的,但它独立于数据本身,并且与数据的使用、存储和可用性关系更密切。因此,隐私存在于方法、过程和技术中,而不是在数据本身中。首席信息官们认为应用程序有一个安全模型很重要。一位首席信息官表示,他们虽然很欣赏GDPR的意图和概念,但实施起来却很难。它要求对任何新功能都要进行解决方案设计,以方便管理。

首席信息官们认为,重要的是从一种理念开始,即,如果不需要,就不要去收集,并始终为用户提供一种查看和删除自己数据的方法。显然,如果你周围没有成堆的数据,那么就比较容易管理隐私。同时,首席信息官们表示,在应用程序设计中做好基于角色的设计工作是很重要的。应该逐步把内部可信角色转移给合作伙伴,然后转移给消费者或者外部。最困难的是确保你的合作伙伴隐私符合你自己的策略。这可能涉及与合作伙伴的合同管理和审计。

同时,你不应该允许DBA(数据库管理员)持有所有的密钥,这样做太草率。黑客们变得聪明起来,开始针对这些人进行社会工程攻击。我们应改变默认情况下使用安全框架来实现数据保护和隐私的思维模式。总之,如果不需要,就不要去收集和保存数据。

首席信息官应该优先将哪10件事

列入数据保护投资清单?
首席信息官的清单上有很多事项。以下列出了前10个事项:
  • 员工教育和培训。
  • 对数据进行保存和审计,知道怎样访问数据,并对风险进行评估。
  • 高管赞成、拥护和所有权。
  • 良好的内部沟通。
  • 评估哪些工作做的不错,包括治理、政策和部门员工技能。
  • 负责合并和应用持续变化和风险的治理主管。
  • 关注外部隐私。
  • 将风险汇集在一起以缩小响应和支出焦点的好工具。
  • 很好的数据保护工具(数据加密、网络模式分析、设备保护、威胁检测、网络边缘恶意软件删除、端点保护和多重身份验证登录等)。
  • 为员工提供安全编程培训,让他们保持零信任的姿态。

首席信息官们清楚地认识到需要通过优秀的人员、流程和技术来保护数据。但他们也意识到仅凭自己无法做到这一点。这要求所有人的配合,包括业务领导和所有员工。记住这些,并且还有良好的政策和治理措施,IT部门可以帮助业务部门在越来越不安全的环境中更好地保护数据。

作者:据LeadTails,Myles Suer是排名第9的最有影响力的首席信息官。他也是CIOChat的推动者,CIOChat有来自世界各地的银行、保险、教育和政府等行业的高管参与其中。

编译:Charles

原文网址:https://www.cio.com/article/3407846/protecting-data-in-an-increasingly-insecure-world.htm

责任编辑:周星如