压在透明的玻璃上c-国产精品国产一级A片精品免费-国产精品视频网-成人黄网站18秘 免费看|www.tcsft.com

我們已經(jīng)生活在一個(gè)數(shù)字化的時(shí)代，那些能夠從數(shù)據(jù)中獲取最大價(jià)值的組織將成為最后的贏家。在數(shù)字化轉(zhuǎn)型和數(shù)據(jù)民主化的發(fā)展背景下，企業(yè)開(kāi)展數(shù)據(jù)安全保護(hù)刻不容緩。不過(guò)，盡管企業(yè)在數(shù)據(jù)保護(hù)方面已取得了長(zhǎng)足的進(jìn)步，但數(shù)據(jù)安全建設(shè)并非一蹴而就，需要過(guò)程和投入，如果缺乏系統(tǒng)思考必然會(huì)導(dǎo)致只重視解決眼前問(wèn)題，而缺乏長(zhǎng)遠(yuǎn)的規(guī)劃，最終會(huì)造成頭痛醫(yī)頭、顧此失彼、重復(fù)建設(shè)等問(wèn)題。

本文收集整理了企業(yè)開(kāi)展數(shù)據(jù)安全建設(shè)時(shí)普遍存在的5種常見(jiàn)問(wèn)題，并給出建議。

陷阱1、僅滿足合規(guī)是不夠的

數(shù)據(jù)安全建設(shè)需要積極主動(dòng)地識(shí)別和減輕風(fēng)險(xiǎn)，而不是僅僅在合規(guī)審計(jì)期間逐項(xiàng)打勾。雖然GDPR、數(shù)據(jù)安全法等一系列數(shù)據(jù)安全法規(guī)的出臺(tái)，為企業(yè)組織的數(shù)據(jù)安全建設(shè)提出了明確要求和標(biāo)準(zhǔn)，但僅僅遵守這些法規(guī)是不夠的。人們常說(shuō)，遵守規(guī)定并不等于安全，很多安全專業(yè)人員也反復(fù)強(qiáng)調(diào)了這一點(diǎn)。然而，還是有很多的企業(yè)組織將其有限的安全資源集中在實(shí)現(xiàn)數(shù)據(jù)安全合規(guī)上，一旦符合了相關(guān)法規(guī)要求或通過(guò)認(rèn)證，就會(huì)產(chǎn)生虛假的安全感。因此，近年來(lái)許多重大的數(shù)據(jù)泄露事件，恰恰發(fā)生在那些表面上看完全合規(guī)的組織中。

建議：將合規(guī)作為數(shù)據(jù)安全建設(shè)的起點(diǎn)

合規(guī)只是數(shù)據(jù)安全建設(shè)的起點(diǎn)，組織應(yīng)采用戰(zhàn)略性、主動(dòng)性的方法來(lái)保護(hù)關(guān)鍵數(shù)據(jù)。該策略應(yīng)該包括發(fā)現(xiàn)和分類敏感數(shù)據(jù)，使用分析工具評(píng)估風(fēng)險(xiǎn)，通過(guò)加密和訪問(wèn)控制實(shí)施數(shù)據(jù)保護(hù)，監(jiān)測(cè)異常活動(dòng)，快速響應(yīng)威脅，并簡(jiǎn)化合規(guī)報(bào)告。同時(shí)，企業(yè)要了解數(shù)據(jù)泄露的更廣泛影響，比如法律責(zé)任和潛在損失，這對(duì)于制定可靠的數(shù)據(jù)安全措施至關(guān)重要。

陷阱2：沒(méi)有集中式數(shù)據(jù)安全監(jiān)管機(jī)制

隨著業(yè)務(wù)不斷發(fā)展，數(shù)據(jù)被存儲(chǔ)在分散的平臺(tái)上，其中大部分是非結(jié)構(gòu)化數(shù)據(jù)。數(shù)據(jù)蔓延現(xiàn)象切實(shí)存在，這突顯了集中式安全監(jiān)管的重要性。對(duì)IT基礎(chǔ)設(shè)施越來(lái)越龐大的公司而言，如果數(shù)據(jù)源進(jìn)一步擴(kuò)展到云端，將會(huì)面臨一個(gè)全新的數(shù)據(jù)安全攻擊面。此時(shí)，組織需要一個(gè)更加全面的數(shù)據(jù)安全可見(jiàn)性，以便深入了解敏感數(shù)據(jù)的位置、訪問(wèn)權(quán)限、如何被利用以及如何存儲(chǔ)等安全狀況態(tài)勢(shì)信息。

建議：部署新一代數(shù)據(jù)安全管控平臺(tái)

有效的數(shù)據(jù)安全需要了解敏感數(shù)據(jù)存儲(chǔ)和訪問(wèn)的位置及方式，并將這些信息融入到更廣泛的網(wǎng)絡(luò)安全計(jì)劃中，以確保不同技術(shù)之間順暢兼容。企業(yè)應(yīng)該積極應(yīng)用先進(jìn)的數(shù)據(jù)安全管控平臺(tái)方案，構(gòu)建一個(gè)集中式的數(shù)據(jù)發(fā)現(xiàn)、優(yōu)先級(jí)評(píng)估、安全防護(hù)和持續(xù)監(jiān)控能力，這樣才能識(shí)別所有已知和未知的數(shù)據(jù)，并根據(jù)數(shù)據(jù)量、暴露情況和安全態(tài)勢(shì)確定安全隱患的風(fēng)險(xiǎn)級(jí)別，提出風(fēng)險(xiǎn)警報(bào)和補(bǔ)救指導(dǎo)。

陷阱3：數(shù)據(jù)安全的責(zé)任不明確

數(shù)據(jù)是現(xiàn)代企業(yè)最有價(jià)值的資產(chǎn)之一。然而，即使意識(shí)到數(shù)據(jù)安全的重要性，許多企業(yè)也沒(méi)有明確由哪個(gè)部門(mén)或團(tuán)隊(duì)來(lái)負(fù)責(zé)保護(hù)敏感數(shù)據(jù)。這種情況在數(shù)據(jù)安全或?qū)徲?jì)事件中往往變得明顯。明確描述數(shù)據(jù)所有權(quán)和責(zé)任對(duì)于有效開(kāi)展數(shù)據(jù)安全建設(shè)至關(guān)重要。企業(yè)中的所有部門(mén)以及員工都必須了解自己在保護(hù)數(shù)據(jù)安全方面的職責(zé)和角色，這樣才可以形成穩(wěn)定的數(shù)據(jù)安全文化。如果沒(méi)有人知道誰(shuí)對(duì)哪些數(shù)據(jù)負(fù)責(zé)，保護(hù)數(shù)據(jù)安全就無(wú)從談起。

建議：設(shè)立數(shù)據(jù)安全保護(hù)官（DPO）

設(shè)立數(shù)據(jù)安全保護(hù)官（DPO）是企業(yè)向高效數(shù)據(jù)安全管理邁出的第一步，這個(gè)工作角色對(duì)于促進(jìn)整個(gè)組織數(shù)據(jù)安全協(xié)作將起到關(guān)鍵性作用。在開(kāi)展數(shù)據(jù)安全建設(shè)時(shí)，DPO 既要考慮監(jiān)管越來(lái)越嚴(yán)格的監(jiān)管要求，也要管理好內(nèi)部的組織問(wèn)題；同時(shí)，還要保持其有效運(yùn)轉(zhuǎn)，以保障數(shù)據(jù)資產(chǎn)的全鏈安全及業(yè)務(wù)的合規(guī)增長(zhǎng)，這些都是DPO最核心的工作職責(zé)。

陷阱4：未及時(shí)解決已知的漏洞

未修補(bǔ)的漏洞是網(wǎng)絡(luò)犯罪分子最容易攻擊的目標(biāo)之一。企業(yè)中很多的數(shù)據(jù)安全事件往往由于已知的漏洞造成的，盡管相關(guān)的安全補(bǔ)丁已經(jīng)發(fā)布，但許多企業(yè)由于種種原因并不能及時(shí)修補(bǔ)這些漏洞。無(wú)法快速修補(bǔ)已知漏洞會(huì)嚴(yán)重危及組織的數(shù)據(jù)安全性。

建議：實(shí)施更有效的漏洞管理計(jì)劃

對(duì)于企業(yè)組織來(lái)說(shuō)，在實(shí)施漏洞管理計(jì)劃之前，首先需要明確一點(diǎn)，如何判斷漏洞管理項(xiàng)目的有效性？很多時(shí)候，漏洞管理不僅僅是一個(gè)技術(shù)問(wèn)題而是企業(yè)綜合管理問(wèn)題，它應(yīng)該是程序化的，包含計(jì)劃、行動(dòng)、協(xié)同、問(wèn)責(zé)和持續(xù)改進(jìn)。企業(yè)應(yīng)該將漏洞修復(fù)視為一個(gè)優(yōu)先事項(xiàng)，并基于潛在的漏洞和業(yè)務(wù)影響設(shè)置漏洞修復(fù)優(yōu)先級(jí)。此外，對(duì)漏洞的保護(hù)措施種還應(yīng)包括加密和令牌化等數(shù)據(jù)混淆技術(shù)。

陷阱5：對(duì)數(shù)據(jù)流動(dòng)的監(jiān)控力度不足

全面監(jiān)控?cái)?shù)據(jù)訪問(wèn)和使用是企業(yè)數(shù)據(jù)安全戰(zhàn)略的重要組成部分。企業(yè)需要知道哪些人、在什么時(shí)候、以何種方式訪問(wèn)數(shù)據(jù)，這些訪問(wèn)活動(dòng)是否會(huì)增加企業(yè)的數(shù)據(jù)安全風(fēng)險(xiǎn)。然而在大數(shù)據(jù)時(shí)代，全面監(jiān)控?cái)?shù)據(jù)活動(dòng)困難重重，因?yàn)樾枰O(jiān)控、捕獲、過(guò)濾和處理來(lái)自數(shù)據(jù)庫(kù)、文件系統(tǒng)和云環(huán)境等不同數(shù)據(jù)源下的海量數(shù)據(jù)。

建議：制定全面的數(shù)據(jù)監(jiān)控策略

企業(yè)在開(kāi)始數(shù)據(jù)安全建設(shè)時(shí)，需要及時(shí)調(diào)整數(shù)據(jù)監(jiān)控工作的規(guī)模和范圍，以正確應(yīng)對(duì)數(shù)據(jù)安全防護(hù)的需求和風(fēng)險(xiǎn)。該項(xiàng)工作通常應(yīng)該采用分階段方法，這樣能夠開(kāi)發(fā)和擴(kuò)展更多的最佳應(yīng)用實(shí)踐。此外，企業(yè)應(yīng)優(yōu)先考慮監(jiān)控最敏感的數(shù)據(jù)源，并購(gòu)買(mǎi)具有高級(jí)分析功能的自動(dòng)化監(jiān)控工具，以檢測(cè)風(fēng)險(xiǎn)和異常活動(dòng)，尤其是特權(quán)用戶。