如何在越来越不安全的环境中保护数据?

 保护数据变得越来越困难。CIO是否已经为保护最重要的企业资产做好了准备?

如果数据是企业的生命之源，那么企业如何保护它。Michelle Finneran Dennedy在其著作《隐私工程师的宣言》中描述了信息时代保护数据的五个阶段：

1.防火墙

2.网络

3.外联网

4.访问

5.智能

问题是，在保护数据的过程中，CIO扮演什么角色?

CIO应该专注于创造更安全的堡垒吗?或者保护数据以及设置谁可以访问它?

在CIO中显然有两种截然不同的观点。有些人认为，虽然堡垒是过去的心态，但它仍然非常重要。他们认为堡垒代表了第一道防线，但对访问权和使用的限制需要成为整体方案的一部分。

这些首席信息官断言，如果只是为了防止垃圾流量和DDoS攻击，你不应该完全放弃你的界限。他们认为边界是非常重要的。这些CIO认为数据安全和访问权是IT组织需要下一步做得更好的事情。他们继续说，虽然要塞必须坚不可摧，但是人为因素是保护企业安全最薄弱的环节。如果有人获得了员工的凭证，特别是如果他们有了员工的电话并破解了安全性较弱的密码，他们就可以控制多重因素授权。这样安全堡垒就被攻破了。

然而，其他CIO认为堡垒式思维与“法国马其诺防线”类似。这些首席信息官表示堡垒式安全注定要失败。他们认为传统的安全模式就像蛋壳。从末端挤压时它们很坚固，但它们会因挤压或拉伸而破碎。由于这个原因，他们认为历史上的堡垒已被证明是失败的。

这些首席信息官表示我们不应该停留在关注堡垒的阶段。虽然他们建议要创造良好的周边安全环境，但他们同时表示，重点需要转向基于模式和行为的安全。他们建议IT领导者丢弃目前的静态安全方法，逐步向更加积极和持续评估的阶段发展。这些CIO认为数据安全与分类及使用特征有关。他们赞成有数据支持的应用程序的“设计安全”。

这些CIO将身份和访问管理视为边界守护者。他们表示，出于这个原因，通过了解访问层和外部入口点来保护数据非常重要。与此同时，他们认为现在是时候超越抓住数据牢牢不放的阶段了。他们说，我们需要在保护数据的同时，使其通过适当的API提供给适当的人。他们指出如果你对数据抓得越紧，数据将会溜走得越多。

做好与数据相关的治理和网络安全显然很难。但这就是它如此有趣和具有挑战性的原因。这些首席信息官认为我们都承认没有办法把所有人隔在外面。因此，在不安全的环境中做好数据保护，其关键是控制好具有访问凭据的人员的访问权限。

鉴于此，适当地管理风险非常重要。一般而言，首席信息官表示，他们对不同的层级加密方法以及每层的安全警察/监控人员感到满意。此外，他们同意不同的用户 - 合作伙伴，用户或消费者 - 应具有不同的信任级别和数据参与规则。顺便说一下，一位CIO说他们听说过另一位CIO开始拆除防火墙来替代更复杂的解决方案。他们认为这样做是违反常规的，但很有趣。

CIO可以通过监管终端来更好地保护数据吗?

首席信息官表示，采取零信任立场并拥有一切都可能受到损害的想法是很重要的。他们认为像BYOD一样，通过不恰当的方式提取数据的能力意味着目前的方法只能延伸到目前为止。在进行每个设计或策略决策时，你必须围绕可访问性和灵活性约束与安全性要求进行设计。

CIO们认为你不能忽视终端安全。他们说需要坚持不懈地努力，但应该建立在你能负担得起的战略基础之上。他们说首先要保护源头的数据，然后再回到传输和设备级别。IT组织需要坚守终端安全基础(覆盖管理密码，将它们放在不同的VLAN上等)，但除此之外的“监管”可能会变得更加昂贵，尤其是对于较小的组织来说。

首席信息官表示，终端安全(以及传输中的加密)是必须要做到的。审核SaaS和COTS以查看数据在终端上可以拥有的缓存/保存/保护应该是该过程的一部分。一位CIO认为传统的监管收效甚微，主动监管是一种更好的解决方案。一位首席信息官表示，从最低权限开始，但始终要确认流量的多少。

其他CIO表示，除非100%的客户群，技术供应商和应用程序都在同一防火墙后面，否则监管终端本身不会阻止违规行为。你需要数字权限管理，加密和访问控制。但是，要清楚是否可以在屏幕上查看数据，是否可以使用智能手机捕获数据。

首席信息官表示，如今大多数危害都来自网络钓鱼和社交工程，而非技术漏洞。因此，需要新的方法。首席信息官表示，终端策略不会阻止社交工程攻击。因此，，通过加密进行保护的能力，聚合和改进风险的工具变得越来越重要。一位教育行业的CIO表示，可能对用户设备进行更多控制，但在高等教育中，大多数终端设备都是BYOD。因此，他们表示要在访问层进行保护。总之，CIO们说要监管终端，但保护数据是与此分开的。

CIO应该如何实现数据治理以真正保护数据?

CIO们表示，数据治理是其中的核心，这可能是获得持久可行解决方案的最困难的领域之一。然而，通过治理，可以设置设计和架构工作的要求。

CIO们认为，IT领导者必须了解他们的组织。他们需要拥有定期评估组织的需求和处理变化的能力。这涉及计划，执行和评估。首席信息官应该为领导加强和改善治理和管理而高兴。他们还需要明白数据治理不是一朝一夕的事情，而是一个漫长的旅程。CIO们认为企业必须拥有数据治理和管理权。否则，CIO将遭遇失败。

开始对话的最佳方式是要求企业定义哪些是关键，哪些不是关键，以及他们希望IT保护所能达到的程度。IT组织不应该自己做出决定。同样，CIO们表示，IT领导者应该让企业扮演好数据管理角色并构建流程以获得良好的数据质量。CIO可以通过提供数据智能分析来彰显其价值。

在适当的情况下，优先适当地清理进程通常是一个很好的做法。首席信息官们表示，除了清理批准的业务流程外，还要删除社交安全号码，这些应该每年进行审核。他们建议IT领导者寻找优化旧流程的机会。同时，揭示数据问题，选择数据所有者，然后实施数据治理至关重要。

一位在高等教育领域的CIO表示，治理的力量取决于行业文化。他们羡慕那些可以告诉用户他们能做什么和不能做什么，以及他们能够和不能使用什么设备的企业，但是他们说，这不是高等教育中的工作方式。另一位首席信息官同时表示，数据治理所有权是他们在其职业生涯中遇到的最大问题。他们说，不幸的是，如果你主持讨论，你最终可能会领导这项计划。CIO需要制定计划，让业务部门发挥领导作用，因为数据治理至关重要。

（编辑：辽源站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!