数据安全101:了解数据泄露的危机,以及保持组织数据安全的最佳实践

通过安迪标志2018年6月13日

每年,数据泄露都会导致全球数百万人的个人信息泄露。这些漏洞每年给组织造成数十亿美元的损失,并导致政府对组织实施新的要求来保护他们的数据。

然而,专家已经建立了组织如何保护其数据的最佳实践。在本文中,您将了解有关数据安全的持续挑战以及如何打击数据泄露和网络犯罪分子所需了解的一切。

免责声明:这篇文章/博客文章仅提供信息和教育目的。虽然我们努力提供准确、完整和最新的信息,但这篇文章/博客文章不提供法律建议,也不推荐任何特定的法律理解或行动方案。你应该咨询你自己的律师,为你提供所有问题的法律建议。

什么是数据安全?

数据安全是指为防止存储在计算机、数据库或网络上的信息被未经授权的访问,以及防止这些信息被修改或损坏而采取的措施。数据安全有时被称为计算机安全、系统安全或信息安全,是所有大小组织的信息技术系统的重要组成部分。

什么是数据安全保护?

数据安全保护的威胁是不断变化和发展的。但是,仍然存在一些一贯的威胁,其中包括:

  • 安全黑客利用计算机系统漏洞工作的人,有时是为了收集信息、抗议或盗窃。
  • 恶意软件恶意软件是“恶意软件”的缩写,这是一种用于未经授权访问或对计算机或计算机系统造成损害的软件。
  • 计算机病毒计算机病毒是恶意软件的一种形式,它是一种恶意编写的代码,可以改变计算机的运行方式,并损坏计算机和存储在其中的数据。编写代码是为了使病毒能够从一台计算机和计算机系统传播到另一台计算机和计算机系统。

对数据安全的需求:越来越多的黑客、破坏和问题

近年来,随着数据泄露和其他安全问题的数量迅速增加,强大的数据安全性对所有组织都变得至关重要。

身份盗窃资源中心是一家追踪数据泄露十几年的非营利组织,报告称2017年发生了1579起数据泄露事件,比前一年增加了45%。经济增长最大的两个领域是一般企业和金融机构。2017年,超过55%的数据泄露影响了企业,高于2016年的45%。

一个单独的泰雷兹电子安全公司2018年的研究(一家数据安全公司)发现,46%的美国组织在过去一年经历过数据泄露,高于前年同一研究的24%。另一个研究普华永道咨询公司2015年的一项研究发现网络安全攻击比前一年增加了38%,知识产权盗窃增加了56%。

数据泄露给组织带来的成本仍然是惊人的。波耐蒙研究所(Ponemon Institute)最新的年度调查显示,2017年,在全球范围内,每起数据泄露事件给企业造成的损失约为360万美元。在美国,每次数据泄露的平均成本为735万美元,创历史新高。

根据波耐蒙的调查,在全球范围内,每条数据泄露的成本为141美元。在某些行业,成本要高得多——医疗保健行业的每条记录成本为380美元,金融服务行业的每条记录成本为245美元。

我们这个时代最大的一些数据泄露或网络攻击

在过去的几年里,已经发生了数千起已知的数据攻击和泄露事件。其中一些规模特别大,具有新闻价值,包括以下引人注目的违规行为:

我们这个时代最大的一些数据泄露或网络攻击

网络犯罪分子渗透计算机和系统的方法

网络犯罪分子使用一系列方法渗透计算机系统。有些已经使用多年;还有一些是最近才开发出来的。

“每年,骗子们的资金越来越充裕,手法越来越复杂,组织也越来越严密,”美国犯罪调查局执行主任拉斯·施拉德说国家网络安全联盟这是一个非营利性的公私合作伙伴关系,旨在促进网络安全和隐私教育和意识。

网络罪犯渗透系统的最常见方法如下:

  • 暴力破解密码:黑客可以简单地通过使用常见或容易猜到的密码来破解一些密码,比如“1234”或“password”。他们还使用电脑快速尝试一系列密码或浏览数十万个单词。如果你的密码很短,这种方法会特别有效。计算机可以在几毫秒内破解一个7个字符的密码。一个12个字符的密码需要大约200年的时间。如果你担心,这个网站可以帮助你找出你的密码抵御攻击的强度。注意:虽然该网站声明它不收集或存储密码,但在尝试这个教育工具时,最好不要使用您当前的密码。
  • 使用现有的泄露数据黑客还使用通过未经授权的方式获得的数据,这些数据可以在网上购买。现有的泄露数据可以让他们获得电子邮件、用户名和密码,他们可以利用这些信息访问账户。
  • 网络钓鱼电子邮件你收到一封电子邮件,代表来自你的银行、美国国税局或其他与你有业务往来或信任的组织。这封邮件暗示该组织需要你提供重要信息,并要求你点击邮件中的链接。这个链接会把你带到一个恶意网站,要求你输入用户名、密码,可能还有其他个人信息。然后黑客可以进入你的实际银行账户或其他账户。

    大卫·赫尔曼是RH策略传播该组织与企业、公共部门、卫生和网络安全公司合作。他说,现在的网络犯罪分子已经足够老练,他们可以从网上了解到你的老板是谁,然后给你发一封看似来自那个老板的电子邮件。赫尔曼解释说:“邮件说,‘嘿,我现在就需要这个。’然后他们会进行一场看起来完全合法的对话。”根据赫尔曼的说法,有了这些看似合法的电子邮件的保证,你就会被说服点击电子邮件中的链接或采取其他危及安全的行动。
  • 网络钓鱼(语音网络钓鱼)一个黑客,可以访问电话号码数据库,打电话给你,并表示他或她是从你的银行,国税局或类似的组织打来的。黑客要求提供个人信息,他们可以用这些信息访问私人数据。

    美国国家网络安全联盟(National Cyber Security Alliance)的施瑞德表示:“它们讲述了一个可信的故事,有人相信它们是合法的。”
  • 诈骗(SMS Phishing):你可能会收到一个带有内嵌链接的文本。与网络钓鱼类似,该链接是一个恶意网站,旨在提取你的个人信息,黑客可以利用这些信息访问你的私人账户。

数据安全为何难以实现

由于一些非常常见的问题,数据安全是如此困难,个人数据不断受到损害。其中一些与确保计算机系统易于用户导航的愿望有关。许多与人性有关,或者仅仅与人类的忽视和无知有关。以下是一些最常见的挑战:

  • 组织通常对他们自己的客户数据了解有限——它可能有多敏感,它在组织计算机网络中的位置,以及未经授权访问它的风险。
  • 组织不知道谁经常访问客户数据。(2016年波耐蒙研究发现只有25%的受访者表示他们的公司监控所有员工的文件和电子邮件活动。)
  • 组织不了解他们的数据是如何保护的,或者如何更好地保护它。
  • 组织不知道何时可能会有可疑的访问或使用他们的数据,因为他们没有足够密切地监控它。
  • 员工日常使用的软件更新——通常包括已知漏洞的补丁——没有经常或很快实现。
  • 远程访问组织网络的远程用户通常更容易受到数据泄露的影响。
  • 随着越来越多的数据存储在云中,旨在加密数据并保持其安全的流程中可能存在漏洞。
  • 内部风险来自授权用户,他们可能无意或故意造成重大数据泄露。
  • 组织希望为授权用户维护其系统的易用性,同时努力提供良好的安全性。
  • 随着收集的数据范围的扩大及其使用的增加,组织必须实施新的和更广泛的安全措施来伴随这种增长。
  • 数据通常分布在整个组织中,计算机系统硬件通常分布在不同的地方。
  • 非结构化数据——不在数据库中固定的、容易搜索的字段中的数据——现在占所有数据的80%,并且更难监控和保护。

与移动设备相关的特殊数据安全挑战

现在几乎每个人都带着手机,还有很多人经常使用平板电脑和个人笔记本电脑。这些无处不在的移动设备给您的组织的数据安全带来了特殊的问题。以下是最常见的挑战:

  • 企业员工拥有的移动设备通常可以访问企业的计算机网络——尽管它们通常没有对企业网络至关重要的数据安全保护。

    RH战略通信公司的赫尔曼解释说,虽然你的组织可能对其网络有复杂的密码和身份验证要求,但当员工的手机可以轻松访问网络时,这一切都被泄露了——然后,有人可以通过猜测手机的1-2-3-4密码来访问这些网络。
  • 移动设备经常与他人临时共享。这意味着其他人可能不会遵循您组织的程序来使用与他们的数据相关的移动设备。
  • 移动设备的应用程序通常连接到web服务,这使得未经授权的数据传输变得更加容易。

对数据安全的日益关注意味着专家市场正在增长

所有组织都面临着数据安全方面的挑战,这意味着市场需要专家来帮助他们继续增长。一个2017年Gartner报告据估计,2017年全球在数据安全产品和服务上的支出将达到864亿美元,2018年预计将达到930亿美元ob欧宝娱乐app手机下载。

什么是数据安全管理?

数据安全管理是对组织数据的有效监督和管理,以确保数据不被未经授权的用户访问或损坏。数据安全管理计划包括计划、计划的实施以及计划组件的验证和更新。

此外,以下是数据安全的基础,通常包含在任何数据安全管理计划中:

  • 备份:持续备份数据,确保能够恢复丢失的数据。
  • 数据屏蔽:隐藏某些数据以避免敏感信息暴露的过程。当技术人员需要处理数据以开发应用程序或执行文本循环时,可能需要数据屏蔽。
  • 数据擦除:当设备出售或丢弃时,覆盖或清除硬盘或其他数字媒体上的数据的一种方法。
  • 加密对数据进行加扰和编码以使其难以理解的过程。只有拥有加密密钥的另一个实体才能解码数据。加密是确保数据安全的一种重要方法,特别是对于跨计算机网络传输的数据。
  • 身份验证确定计算机系统用户是否如他或她所声称的那样的过程。用户名和密码是常用的认证方法。
  • 一次性密码:只对一个网络会话或事务有效的密码。一次性密码增强了数字安全性,因为可以通过发现和重用传统密码获得访问权限的入侵者无法获得访问权限。
  • 电子证券令牌:作为电子“钥匙”的物理设备,允许用户访问数据或进入物理位置。数字信息存储在设备上。用户可能需要设备和单独的密码才能访问资源。
  • 双因素身份验证:需要两种方法对授权用户进行身份验证。例如,双因素身份验证可能需要用户提供密码以及只有他们知道的信息,或者密码以及电子安全令牌。
  • 透明数据加密(TDE):对数据库的实际文件加密,而不是对数据加密的方法。授权用户可以正常访问数据,并且可能不知道使用了TDE。该方法可确保访问所有数据的入侵者无法读取或使用放置在不同服务器上的数据。
  • 云访问安全代理:在云服务用户和云应用程序之间工作的软件。该软件监视活动并确保遵循用户的安全策略。
  • Active Directory权限管理服务使用此Microsoft Windows安全工具(在Windows Server 2008之前称为Windows Rights Management Services)可帮助组织设置和管理用户对电子邮件、Microsoft office文档和Windows服务器上其他信息的访问类型。
  • 大数据安全:大数据是指可以收集、分析和挖掘信息的海量数据(各种形式)。Hadoop是一个开源软件平台,您可以使用它来存储和处理超大数据集。
  • 物联网数据安全:作为物联网一部分的设备的一部分或添加到设备中的安全措施。物联网是指嵌入在计算设备中的数十亿个日常设备,从冰箱到石油钻井设备。这些计算机使他们能够发送和接收帮助他们运作的数据。
  • 支付安全,移动应用安全,网络浏览器安全,电子邮件安全这些计算和数据传输模式中的每一种都有特殊的安全功能,可以防止未经授权的访问。

数据安全最佳实践

当涉及到管理组织数据和增强其安全性工作时,您可以采取许多步骤来开始。建议采取的一些步骤包括:

  • 了解您拥有的数据,哪些数据是最敏感的,以及如何保护这些数据。许多组织并不完全了解他们所拥有的数据,其中一些数据有多敏感,以及如何存储和保护这些数据。因此,公司应该经历一个提供这种理解的正式过程,然后执行一个风险分析确定哪些数据可能特别处于危险之中,以及如何保护它。然后,建立一个数据安全计划,概述您的组织将如何评估和保护其数据。

    “永远不要忘记你真正在保护什么,”她说Raef Meeuwisse,《网络安全初学者指南以及即将出版的《如何入侵人类》一书。“这门学科被称为信息安全是有原因的。然而,在几乎99%的审计中,我发现组织没有明确的价值信息资产清单。如果他们不知道他们的信息有什么价值,或者信息流向哪里,那么他们当然无法保证信息的安全。”

数据安全规划模板

数据安全规划模板


开始为您的组织构建数据安全计划。可定制的模板提供了组织应该采取的重要行动的指导,以帮助保持其数据安全。

下载数据安全计划模板- Word

  • 只收集和保存您需要的客户或联系人的敏感/私人信息。组织经常从客户和联系人那里收集比他们实际需要的更多的信息,并且保存这些信息的时间比他们需要的时间长。只收集有助于业务的信息,并建立一个删除不再需要的信息的流程。
  • 建立有效的数据治理数据治理是组织为正确管理其数据而建立的总体结构。该结构建立了权力和共享决策,这对于组织如何正确使用和管理其数据至关重要。

数据治理策略模板

数据治理策略模板


在建立数据质量和可靠性标准时,您应该创建组织中每个人都可以遵循的数据治理策略。您可以使用此模板构建该策略,并创建与访问、存储和备份数据相关的标准。

下载数据治理政策模板- Word

数据安全策略模板

数据安全策略模板


重要的是,你的组织要以书面形式解释它为保护数据安全而制定的政策,包括它如何告知人们它正在收集有关他们的数据并请求他们的同意,如何为敏感数据提供额外的保护,以及如何期望员工适当地处理数据并确保数据安全。这个模板可以帮助您开始概述其中的一些安全策略。

下载数据安全策略模板- Word

  • 建立严格的密码和身份验证策略,提高安全性。2016年的Verizon报告发现63%的数据安全入侵来自默认密码、容易被猜出或被盗的密码。要求有效的密码,以及在某些情况下的双因素身份验证,可以显著提高数据安全性。

    国家网络安全联盟(National Cyber Security Alliance)的施拉德(Schrader)建议:“对于密码,使用一些长而容易记住的东西。”他建议用户使用几个单词组成的短语。“这使得蛮力计算机很难崩溃。”

    RH Strategic的Herman还建议组织更经常地使用双因素身份验证。这可能意味着用户需要快速识别发送的图像,或者使用发送到手机的简单代码。赫尔曼解释说:“公司担心这会让员工更难进入。”“但事实是,它可能会增加一秒钟。也许在一整天的过程中,它会增加一分钟。”而且,它极大地提高了数据安全性。
  • 教育员工:每个人都是数据安全的一部分。数据安全是一项远远超出IT部门的工作。所有员工都应该阅读并理解组织的数据安全政策。你应该努力确保所有员工都明白,除其他事项外,哪些数据是机密的,以及他们在访问你的网络时必须遵守哪些规则——包括来自偏远地区。他们还应该了解网络钓鱼邮件和社交媒体账户的威胁。
  • 在手机和其他移动设备上建立策略。移动设备——尤其是所有员工每天使用的移动电话——可能对系统的数据安全构成重大威胁。如果您的组织为员工提供移动电话或其他移动设备,您应该设置策略,规定如何使用这些设备,以及何时(如果有的话)这些员工可以在设备上安装外部应用程序。如果你允许员工使用自己的设备访问公司数据或公司电子邮件系统,你应该有一个流程来确保这些设备有足够的加密和其他安全措施,这样它们就不会对你组织的数据构成威胁。
  • 默认保护所有数据。数据安全的一个重要问题是,一旦入侵者突破外部“墙”进入计算机网络,他或她通常可以轻松访问该系统内的数据。越来越多的专家建议提高整个系统的安全性。例如,透明数据加密确保数据库的实际文件和组织结构被加密——而不仅仅是数据。组织也在创建一个安全区,只有他们信任的应用程序和计算机才能访问数据。他们“信任”基于对用户表面身份、位置和其他区别数据的数字分析。
  • 在你的网络上的每个设备上都安装广告拦截器。广告拦截器不仅可以提高员工的工作效率,还可以确保员工不会无意中打开可能具有欺诈性并导致数据泄露的ob欧宝娱乐app手机下载弹出式广告。
  • 及时更新已知漏洞。世界各地的计算机专家总是在寻找计算机网络和软件的新漏洞。不断更新这些已知漏洞也是一个好主意。
  • 随时了解全球最新的数据安全威胁。除了已知的漏洞之外,您的IT专业人员还应该随时了解全球已知的所有最新数据安全威胁。免费的在线社区论坛和资源喜欢欧宝体育app官方888CVE能帮上忙。
  • 雇佣一个黑客。即使是那些认为自己在数据安全方面做得很好的公司,也不能相信他们的系统是安全的——他们应该不断地、深入地测试这种安全性。许多组织实际上雇佣了“白帽”黑客来攻击他们的网络,看看黑客专家能够发现和利用哪些弱点。
  • 立即修复您发现的任何漏洞。跟踪可能的漏洞和数据安全问题通常是没有好处的,如果您延迟对发现的问题采取行动的话。专家建议您确保您的团队快速实施软件更新,并对已知漏洞进行修补,并在检查您自己系统的漏洞后立即进行其他必要的修复,同时您的IT专家会跟踪数据安全性。
  • 是否有应急计划,并在数据泄露后严格执行。波耐蒙研究所(Ponemon Institute)的年度“数据泄露成本研究”经常发现,降低数据泄露成本的最重要因素是尽快发现并修复数据泄露。这意味着要持续监控您的系统,并让事件处理小组做好准备——可以是内部团队,也可以是签约的外部团队,以便立即提供帮助。您可以考虑使用模拟攻击执行测试演习,以查看您的响应计划是否有效。

什么是数据安全标准?

数据安全标准是适用于某些国家、政府组织和行业的数据安全规则。也有一些标准,比如ISO / IEC 27001这些标准是自愿的,但详细规定了保护数据安全的最佳实践。应用该标准的组织可获得专项认证。

一些值得注意的标准:

  • FIPS 200FIPS 200(代表联邦信息处理标准)为美国政府的信息系统设定了最低的安全要求。
  • NIST 800 - 53年:起源于美国国家标准与技术研究院,NIST 800-53集详细网络安全指导方针补充FIPS 200。这些指导方针是自愿的,但通常被许多组织遵循。
  • PCI DSS:支付卡行业的标准,旨在确保信用卡和借记卡持有者的数据安全。

管理数据安全的法律

包括美国在内的许多国家都颁布了各种法律,在某些司法管辖区和某些行业内管理数据安全。下面是一些值得注意的例子。请记住,以下信息仅供参考和教育用途,不作为法律建议-您应咨询自己的律师,以确定这些法律是否以及如何适用于您。您不应将此作为法律意见或任何特定法律理解的建议。

  • 1998年英国数据保护法案联合王国议会批准了一项法律,要求采取某些数据安全措施来保护存储在计算机上的个人数据。
  • 《金融服务现代化法案》法案这项法律于1999年由美国国会通过,其中包括一些处理银行和金融机构的主要条款。一项重要条款要求包括投资顾问和保险公司在内的金融机构保护敏感的个人数据,向客户解释他们如何共享信息,以及客户如何禁止他们的信息被共享。
  • 健康保险流通与责任法案(HIPAA)这项美国联邦法律规定了医疗机构和与之有业务往来的人,其中包括一项隐私规则,要求采取某些数据安全措施来保护人们的个人健康信息。
  • 运行状况违规通知规则你通常如何处理免责声明的措辞?拥有个人健康信息,但不受HIPAA管辖。它要求这些企业通知他们的客户联邦贸易委员会在某些情况下,如果有人违反了健康信息,媒体也会报道。
  • 纽约州网络安全条例从2017年开始,纽约金融服务部(New York Department of financial Services)监管的金融机构必须具备全面的安全措施,以保护客户的私人数据。
  • 欧洲联盟(EU)一般资料保护规例该法规也被称为GDPR,于2018年5月25日生效,并要求处理个人身份信息的组织采取某些措施,确保个人知道正在收集关于他们的哪些信息,并同意收集、使用和处理这些信息。GDPR还授予个人与其数据相关的一系列权利,包括知情权、访问权、更正权、删除权、限制处理权、数据可移植性权、反对权以及与自动决策和分析相关的权利。由于该法规适用于拥有欧盟28个国家居民个人信息的任何实体,因此它实际上是一项全球性法规,将适用于大多数跨国公司,包括Facebook和b谷歌等公司。

理解数据安全和隐私的区别

数据安全和隐私是紧密相连的。但隐私的概念比简单的数据安全更重要,理解它们的区别很重要。

您的组织可以遵守与保持数据安全有关的所有规则和法规。但它仍然可以使用人们的个人数据——跟踪他们的位置,收集他们电子地址簿中的信息,跟踪他们的电子邮件——一些人认为这种方式侵犯了他们的隐私。你的组织应该有关于个人信息如何使用的政策,如何告知人们他们的信息被使用,以及他们如何给予、拒绝或撤销他们的同意。

使用智能表提高信息和数据安全性

通过设计一个灵活的平台来满足你的团队的需求,并随着需求的变化而适应,从而使你的员工能够超越自己。

Smartsheet平台可以轻松地从任何地方计划、捕获、管理和报告工作,帮助您的团队更有效地完成更多工作。报告关键指标,并通过汇总报告、仪表板和自动工作流实时了解工作情况,以保持团队的联系和信息。

当团队对要完成的工作有了清晰的认识时,就不知道他们在同样的时间内能完成多少工作。今天就免费试用Smartsheet吧。

Smartsheet在网站上提供的任何文章、模板或信息仅供参考。虽然我们努力使信息保持最新和正确,但我们对网站或网站上包含的信息、文章、模板或相关图形的完整性、准确性、可靠性、适用性或可用性不作任何形式的明示或暗示的陈述或保证。因此,您对此类信息的任何依赖均须严格由您自行承担风险。

这些模板仅作为示例提供。这些模板绝不是法律或合规建议。这些模板的用户必须确定哪些信息是必要的,哪些信息是实现其目标所必需的。

了解为什么超过90%的财富100强公司信任Smartsheet来完成工作。

免费试用Smartsheet 获得一个免费的Smartsheet演示