E安全3月31日讯在过去的几个月中,SolarWinds和Exchange的攻击强化了网络安全是一项关键业务功能。因此,PWC最近的一份报告发现,55%的企业高管计划在2021年增加其网络安全预算,而51%的企业计划在一年内增加专门应对网络安全的全职员工。
符合数据隐私法规合规性
对安全的关注不仅仅是对更多网络攻击的反应。过去一年中,数字化转型计划的迅猛发展也与之相关。一些行业专家称其为“从云速度到COVID速度”的转变。疫情迫使人们采用一种新的工作方式,这最终意味着一种确保我们工作方式安全的新方法。这也意味着公司在云中存储和管理更多数据,这带来了自身的合规性挑战。
迁移到云中的每个新流程,无论是自动化的还是数字化的,都已成为一个新漏洞。安全团队需要管理这些漏洞,以保护数据免受网络攻击,并确保遵守最新的数据隐私法规,例如《通用数据保护法规》(GDPR)或《加利福尼亚隐私权法案》(CPRA)。
明年,其他不合规的问题将会越来越多,尤其是随着公司继续远程地在船上和船外的客户和员工上开展活动。这些新流程将影响如何保护数据并遵守来自各个州和国家/地区的多个不同拼凑而成的隐私法规。这就是行业必须努力制定统一的数据隐私法规的原因,因此组织必须清楚了解合规性意味着什么。
与2020年一样具有挑战性,它提供了宝贵的经验教训,安全和身份团队可以将这些最佳实践应用为企业遵守CPRA和GDPR等法规和合规标准的最佳实践。以下是优先考虑的三个内容。
第1课:清点身份并将其锁定
在数据保护,安全性和合规性方面,组织必须将潜在的技术风险保持在可接受的范围内,这意味着需要动员努力来确定存储个人身份信息(PII)和其他敏感信息的数据源和应用程序。然后,组织应使用数字转换作为催化剂,以适当的控制来锁定那些应用程序,以防止未经授权的数据使用,并使用分析来获取对管理敏感的数据的可见性。
任何数据隐私合规性的关键是适当的数据保护,因为根据这些法律,消费者保留拒绝和撤销其数据收集的权利。有关合规性的任何计划的第一步都是要基本了解您拥有的数据,数据的位置以及谁可以访问这些数据。此原则是身份管理和治理的基础。
第2课:与业务的其他领域进行协作以设计合规性协议
法规标准(新旧)的变更将影响风险和安全性工作。因此,企业必须准备快速制定必要的协议,以实现无缝和适当的数据保护。这一切都始于数据发现,这需要业务团队和安全部门之间进行重要的协作,以映射出捕获到的有关客户,合作伙伴和员工的数据。后续步骤包括数据分类,了解如何处理和存储数据。
总体而言,必须建立健全的治理框架以确保合规并应对组织风险。这些框架只有在业务和安全团队合作的情况下才能成功。不幸的是,孤立的合规性方法最终会发掘出更多的挑战,而不是解决它们。
第3课:将身份置于安全性和合规性范围的核心
随着云使用的正常化,身份管理和治理已成为企业管理特权,访问并确保数据安全性和隐私性不可或缺的一部分。公司应将云中的每个工作负载和服务都视为一个标识,因为每个工作负载和服务都具有分配给与其他服务连接的访问权限,角色或权限。
虚拟机,数据库,容器,移动电话和IoT设备之类的东西都是机器身份,它们可以访问其他系统上的数据,同时还可以存储和处理需要管理的数据。此外,公司应持续监控用户访问权限,以确保有效的控制措施保持有效。
通过将身份放在公司安全范围的中心,组织可以了解谁可以访问敏感数据,以及是否有人在没有适当权限或需要(不知道)或被窃取的情况下访问该数据。从那里开始,组织应集成数据治理协议以识别各种数据存储库,采用零信任模型并努力实现零信任成熟度。此过程涉及思维方式的转变,以接受您必须对所有身份进行猜测并限制访问的时间。
数据隐私法规和零信任成熟度
除了这三个重要的教训之外,组织还必须认识到零常备特权为零信任的成熟铺平了道路-这意味着团队必须根据需要确定访问权限。此过程将强制要求,评估以及接受或拒绝任何访问权限,从而确保没有身份可以默认访问PII或其他形式的受保护数据。
最后,这可以防止和保护企业免受利用常规管理权限的网络攻击的影响,并有助于遵守法规,因为它可以确保员工和管理员不会过多地访问私有数据。
尽管有关拼凑而成的隐私法规的复杂性日益提高,并且客户对数据保护的敏感性日益提高,但组织仍需要建立一个以身份为基础的隐私策略框架。这将确保组织满足维持合规性所需的必要控制和保护协议,并减轻网络攻击中不良行为者访问私人数据的风险。
