數據風險評估是我國《數據安全法》明確要求的內容,我們知道在傳統的網絡安全活動基礎上,數據處理活動更加復雜多樣,包括生產、采集、提供、交易、交換、存儲、傳輸、加工、使用、共享、公開、銷毀等活動。重要數據的處理者應對數據處理活動中數據的安全性及可能存在的風險開展安全檢測、風險評估,檢驗保護數據安全措施的有效性,及時發現問題隱患并整改。
國內外,網絡數據安全領域,都看到數據風險評估的重要性,但多少還是存在一定差異的。而國外以國外的法律體系為基礎,我們則以我們的法律體系為基礎。今天,我們看一下外國企業對數據風險評估的一些看法。
許多組織都了解保護個人身份信息的重要性,但并非所有組織都知道如何正確執行數據風險評估。以下是保護組織中數據安全所需了解的信息。
存儲個人身份信息 (PII) 的組織對犯罪分子來說是一個有吸引力的目標。不幸的是,許多存儲?敏感數據的公司?沒有正確跟蹤敏感數據及其所在位置,從而導致可利用的漏洞,從而導致代價高昂的?數據泄露。
作為一項保護措施,組織應定期執行數據風險評估,以審查和保護敏感信息。但什么是數據風險評估以及執行數據風險評估的最佳方法是什么?
什么是數據風險評估?
數據風險評估是組織審查其控制下的敏感數據的過程。這包括整個組織 IT 生態系統(包括所有平臺、服務器位置和云環境)存儲、訪問和管理的所有數據。
什么構成敏感數據?
在組織能夠正確保護其敏感數據之前,必須首先了解系統中包含的數據。這就是為什么正確的數據分類?對于數據安全至關重要。
在確定應歸類為敏感的數據時,請記住:
- 整個組織使用的數據類型
- 數據可能存放的位置
- 數據對組織的總體價值
- ?所在行業的監管合規要求
- 訪問授權權限
不幸的是,許多組織依賴手動分類,如果分類指南發生變化而沒有對受影響的信息進行適當更新,手動分類可能很快就會過時。更糟糕的是,90% 的組織數據大部分都是暗數據,這些數據要么已被捕獲但未使用,要么是公司不知道自己擁有的數據。
DRA 如何幫助保護組織
數據風險評估可以揭示組織所擁有的敏感信息。此外,這種增強的可見性可以更好地洞察組織可能面臨的潛在風險,包括惡意風險和意外風險。
有效的數據安全風險評估計劃的幾個關鍵成果包括:
- 減少敏感信息的足跡。?這使得現有的數據安全計劃能夠更有效地發揮作用。
- 解決授權監督問題。?數據風險評估可以突出顯示對敏感信息訪問過多或過少的用戶。在前一種情況下,可以減少訪問以降低不當訪問的風險,而解決后者可以提高組織效率。
- 制定適當的安全措施。?有效的風險評估允許組織通過?實施數據保護計劃?或修復現有漏洞來解決安全缺陷。
- 降低運營成本。?通過更好地了解其控制下的數據,組織可以將資源集中在關鍵數據和基礎設施上。適當的計劃還可以?降低數據泄露時的成本。
數據風險評估的組成部分
數據風險評估可以分為三個不同的部分:發現、評估和行動。在許多情況下,每個步驟都是同時執行的,特別是在處理敏感數據的場景中。
此外,應定期進行風險評估。盡管對于應進行評估的頻率存在各種建議,但業務的性質、所管理的數據以及先前評估的結果將決定企業應多久進行一次安全評估。然而,應該指出的是,在任何情況下,風險都不是靜態的,評估的性質和頻率應該是組織內持續討論的內容。
發現組織數據并對其進行分類
如果沒有適當的?數據發現和分類?實踐,您的風險評估將不是最佳的。您必須了解所有數據的存儲位置及其敏感級別,以確保根據內部建立的框架對數據進行分類。還要記住您可能遇到的任何?監管要求?。
確定分類級別時,請考慮以下變量:
- 保密:誰應該訪問數據?
- 價值:數據對組織運營有多重要?如果數據被未經授權的一方訪問、修改或破壞,組織可能會受到什么損害?
- 可用性:為了進行日常業務運營,數據必須有多容易獲得,過度限制的協議是否會阻礙運營?
雖然一些組織選擇手動處理這些分類任務,但這項工作通常不可持續或不可擴展,特別是在高度監管的環境中。由于需要用戶輸入和執行,分類速度緩慢、效率低下,并且無法適應不斷變化的組織需求。因此,最好考慮采用自動化分類方法,以確保獲得最佳結果。
評估數據安全風險
安全風險可以有多種不同的形式。雖然勒索軟件、網絡釣魚攻擊或類似事件等直接攻擊是一種明顯且日益增長的威脅,但這些并不是數據泄露的唯一入口點。并非所有風險都可以歸因于惡意意圖。通常,意外的疏忽也可能同樣危險。
數據的常見風險包括:
- 密碼管理不善。 超過60%的違規行為可以追溯到易于確定或其他較弱的密碼。
- 第三方訪問。如果獲得訪問權限的外部各方未能制定適當的數據安全措施,系統也可能受到損害。
- 無意訪問。如果沒有適當的憑據,組織內的員工或其他個人可能會有意或無意地訪問敏感信息。
- 端點設備丟失和被盜。保存在筆記本電腦、硬盤或其他未加密設備上的數據很容易落入壞人之手。
雖然此列表并不詳盡,但它代表了您的組織可能面臨的威脅的樣本。要確定組織內的獨特風險,您需要考慮整個領導團隊的觀點,而不僅僅是 IT 部門的觀點。通過引入更多觀點,您的組織將更好地準備應對威脅。
采取行動降低風險并預防威脅
如果組織未能解決評估過程中發現的風險,那么在數據所在的位置找到數據并識別威脅就毫無意義。必須盡快解決數據面臨的威脅,以減少數據泄露和其他安全風險的可能性。從基本端點安全到公司級別的全面策略更改,組織可能需要采取以下一些方法來應對風險:
- 實施備份和數據加密等保護措施,以更好地保護數據。
- 創建一種認識到數據安全重要性的公司文化。
- 制定全面的數據泄露響應計劃,以減輕損失并改善響應
- 通過強大的安全和隱私產品滿足數據安全需求。
如何主動滿足數據安全需求
準備數據安全風險評估的最佳方法是使用適合組織的定制解決方案來保護敏感數據。
數據資產識別工具可以使組織能夠通過自動化、實時和持久的數據分類,采取前瞻性的數據安全方法。這一強大的基礎為開始數據安全風險評估創造了理想的條件。
此外,治理套件還可以監控數據并識別威脅,以確定敏感數據是否面臨風險,并可以提供補救策略來解決組織內的漏洞。該軟件還可以有效地滿足數據主體訪問請求(DSAR),以確保遵守適用的法規。