本月为美国国家网络安全意识月,不料1日和2日刚开始两天就已经接连爆出两个严重数据泄漏事例。信用记录和消费者数据提供商Experian于10月1日披露,约1500万曾申请T-Mobile融资服务的消费者数据被泄漏,包括社保号、驾照号、护照号等。10月2日,Scottrade宣布其收到联邦执法机构通知,发现有460万客户信息被盗取。
可以预见的是,这两宗大规模数据泄漏事件,不仅会给公司带来高额罚款以及后续处理成本,信息安全管理者必然需要承担责任,很有可能被迫辞职。Experian将为所有数据泄露的用户提供两年免费的信用监测作为补偿。数据安全事件,已经是导致CISO责任离职的最主要原因。
调查显示,客户数据、知识产权、和经营分析数据是CISO普遍认为风险最高的敏感数据。CISO应立即着手提升数据治理水平和风险管控能力,切实推进“以数据为中心的安全”架构的实施落地。
全局掌控关键数据分类和所在位置
关键数据是维系企业正常运营和持续发展的重要的战略性资产,因此管理层希望清楚地了解企业内有哪些类别的关键数据,业务价值高的数据被哪些部门使用,风险高的数据是否有相应的保护措施,需要查阅的数据能否立即定位,商业秘密的扩散范围能否识别,这些问题给数据管理提出了非常高的要求。
“敏感数据分布位置不明,最令管理者寝食难安。”这是Ponemon Institute调查全球16个国家和地区共1,587名信息安全从业者后的结论。苏格兰皇家银行和微软等信息安全领先企业的管理层普遍认为,数据分类,是CISO在规划敏感数据保护方案时,应最先考虑部署的方向。而数据分类技术的实际应用,需攻克的技术难关是准确率和性能。在这方面,传统关键字、指纹、和正则表达式技术难以完全胜任,而新技术如自然语言处理和机器学习越来越受到认可。
在分支机构复杂、区域分散、端点众多的企业内,数据管理部门能够借助关键数据发现和管理解决方案的部署,实时梳理不同业务类别数据,统一管理每个终端、服务器、邮件、和网络中的敏感数据,全面汇总相关图表报告,随时可以向管理层汇报。
洞察风险分布,才能高效应对
企业数据管理部门正面对极大的挑战:关键数据业务类别繁杂,存储地点分散,数据量增长迅速,设备和人员持续扩充。若想准确高效地应对,必须借助支持数据分类分级的可视化集中管理方案。
在国内,监管机构已普遍推荐数据分类分级的治理框架。关键数据发现和管理解决方案,支持数据分类分级,能以图表形式向管理者呈现不同类别和密级的文档分布、违规风险和安全事件,还能逐级查询某指定设备中不同类别的敏感数据详细列表,满足企业对数据安全的审计需要。同时使得管理者能够摆脱纷冗繁杂的权限设置细节,在更高的层面上直观、全面地检查和监督管理意图和要求的实现情况,及时发现风险隐患和安全事件。
持续改进
数据安全治理最佳实践并不是一成不变的。随着业务发展、组织扩张、和机构调整等变化发生,敏感数据的安全边界、责任岗位、管理制度、和关键流程等都会随之改变,内控部门和数据管理部门必须能够预见这些调整,立即应对,才能跟上企业快速发展的步伐。
应有自然语言处理和机器学习新技术,依靠自动数据分类分级,对企业内数据安全风险和违规事件进行现状统计,跟踪变化趋势,便于内控部门和数据管理部门及时直观地发现哪类数据的安全管理漏洞最严重,哪些设备的权限过于宽松,哪些使用行为最危险,哪些用户连续违规,从而明确找出薄弱环节和重要检查点,有的放矢地调整管理策略,有针对性地改进和完善制度和流程。同时,系统能及时反馈管理制度的完善效果,使得内控部门能够更准确更快速地评估改进措施,为下一阶段的改进目标提供数据支持。