首席信息安全官可以利用首席数据官的数据知识和治理技能加强安全,而首席数据官可以利用首席信息安全官的内部和外部威胁知识保护数据。两者之间可以更好地开展合作。
Alation公司解决方案营销总监Myles Suer表示,近日与一家分析机构的分析师在一次电话会议中讨论了数据的安全性。分析师表示,大多数企业的首席信息安全官仍然专注于保护其企业业务免受外部入侵或危害,而不是保护其企业最有价值的资产(数据)免受内部和外部威胁。
大多数人都非常关注《隐私工程师宣言》一书作者所说的“访问阶段保护”。Constellation研究公司分析师Dion Hinchcliffe说,“不幸的事实是,安全没有边界。人们再也无法信任任何事物,即使在外围也是如此。任何人可以连接全球互联网,网络攻击者也可以攻击所有人。”
前首席信息官Wayne Sadin对此表示认同,他说:“我特别不喜欢‘外围’,因为这意味着‘内部=安全,外部=危险’”。他表示,尽管访问阶段保护仍然是安全架构的重要组成部分,但首席信息安全官仍有机会做更多的事情,可以与首席数据官开展合作,以保护其所在公司及其数据的真正价值。
采取这一步骤的原因是,正如首席信息安全官所知道的那样,网络攻击者变得越来越老练。他们有些并不强行攻击企业防火墙,而是找到众所周知的窗口。他们这样做的目的是针对控制数据库访问权限的数据库,并使用网络钓鱼和其他攻击技术来获取企业的客户数据,网络攻击者因此可以访问企业的客户数据库中的所有内容。
安全教育仍然很重要,那么有一个问题是:首席信息安全官和首席数据官为什么不积极保护其公司数据?
这是建立合作伙伴关系的一个绝佳机会,因为首席信息安全官可以利用首席数据官的数据知识和治理技能,而首席数据官可以利用首席信息安全官的内部和外部威胁知识。
系统化的数据治理
保护数据的核心要素是使数据治理实现系统化。有了数据治理,任何人(无论职位或级别多高)都不应该有权访问所有数据。需要的是建立一些安全原则和流程,将控制和信息构建到流程、系统、组件和产品中,以实现对个人信息的授权、公平和合法处理。
具体来说,其合作机会是为个人可识别信息(PII)建立数据治理,并遵守ISO 27001标准。企业首席信息安全官和首席数据官目前应该面临的问题是,如何做好这一点,特别是在传统企业中。
为此建议企业执行以下三个步骤:
步骤1:建立数据管理
一切都需要从数据管理开始。需要注意的是,数据管理员并不像IT部门那样关心数据。
只有数据的所有者才知道应该如何管理数据,以及他们的行业在个人可识别信息(PII)方面需要遵循的合规性要求。因此,其首要任务是为数据类建立数据所有者。
通过这样做,数据管理员需要确保为最终数据所有者提供有关如何维护、管理、治理和保护数据的数据策略。尽管有隐私类型,但在这里关注的是安全性、道德、隐私。Constellation公司的Hinchcliffe表示,保证数据安全的第一步是在组织内建立授权,然后集中足够的资源来做任何事情。这样,治理、隐私、安全政策就可以得到充分的制定和实施。
在这里,重要的是要采取一种非侵入性的数据治理方法。这种方法的前提是企业已经在管理数据,但是他们以非正式的方式管理数据,从而导致数据管理方式的效率低下或无效。
这是一个有效的数据治理程序,旨在对有关数据收集、创建、定义、对齐、优先级排序、监视和执行的规则进行整理。这其中包括数据治理规则和数据定义的创建。对于个人可识别信息(PII)尤其如此。
在这里要确定谁可以查看或修改数据。在流程方面,数据治理至少包括以下步骤:1)数据规则和定义;2)决策规则;3)责任;4)控制;5)数据利益相关者;6)数据管理人员;7)数据处理。
在建立数据规则和流程后,首席信息安全官和首席数据官可以实施下一阶段,进入步骤2。
步骤2:资料发现
令人悲哀的是,很多企业不知道他们拥有什么数据,甚至不知道数据位于何处。其中包括个人可识别信息(PII)。
因此,这一步骤全部与数据发现有关。首席信息官Martin Davis建议企业在实施第二个步骤时,对数据进行分类,在何处以及如何使用数据,因为无法管理自己不知道的内容。这是必不可少的步骤,因为即使出于保护数据、遵守隐私法规和治理的最佳意图。在不知道存在公开的数据及其位置时,也无法进行保护。这一过程涉及发现、目录和元数据创建,这是保护数据的关键功能。在发现过程可以自动发现潜在的个人可识别信息(PII)的情况下尤其如此。
步骤3:保护数据
在步骤3中,将策略应用于敏感数据(在数据目录中!),以便其他人知道如何/不能使用该数据。其目标应该是保护移动的数据和静止的数据。
为了实现这一点,采用多种数据保护技术。在这里,除了数据库加密之类的粗粒度控制之外,还必须执行这些操作。这些类型的方法容易受到数据库网络钓鱼事件的影响。此外,加密只保护和锁定那些没有凭据的数据。这在许多层面上都是有问题的。
令人悲哀的是,企业需要在内部和外部保护其数据。这就要求数据访问者具有不同的访问权限,并符合隐私规则。表格、行和列的粗粒度加密处于打开或关闭状态。
这确实适用于企业想要防止网络攻击的场景。粗粒度加密只会保护企业免受外部的影响,并且只有在尚未获得员工凭据的情况下才可以。
事实上,即使已经通过加密进行了数据保护,也需要授权(谁可以访问什么)。加密主要有助于防止存储设备/磁盘和数据包嗅探器被盗。
与此同时,企业需要能够使用数据来创建业务创新和发展所需的见解。例如,在大数据中,其目标不应妨碍数据集成或保护客户隐私权的法规要求。这意味着数据应可用于执行分析和关键业务流程。但是与此同时,非公开的个人身份信息应该受到保护,使其免受没有授权使用的内部或外部各方的侵害。
与其相反,细粒度的控制包括授权、屏蔽、角色加密。这使企业可以防御内部和外部威胁。这使企业可以控制人们可以通过角色、人员或数据看到的内容。这样可以实现更加智能化、以动态数据为中心、以人为中心的数据保护。
此外,有效的数据管理应利用化名来代替数据主体的身份,以便需要其他信息来重新识别数据主体。这些附加信息应与人员、角色、数据本身有关。
为了符合ISO 27001的标准,需要采用一种技术途径,不仅可以智能地保护数据的访问,而且还保护移动中的数据。进行这项工作需要与数据一起移动的数据规则。这种集中治理和化名,可以在数据到达的任何地方进行保护。
通过医疗保健行业中的实例可以理解这种方法的强大功能。患者可能希望医生了解其全部病历资料,但并不希望他可以查看患者的财务记录。
结语
总之,在首席信息安全官和首席数据官之间进行协调需要这3个步骤。这是两个职能部门都获得业务信誉的良好机会。但问题仍然存在:他们是否准备好携手合作,为企业和客户创造一个更好、更安全的世界?
