新思科技指出企業(yè)要更好地保護敏感數據,符合當地法律法規(guī)要求,就必須創(chuàng)建數據安全策略和框架,多部門協作共同保障數據安全。
世界各地的消費者隱私法
歐盟數據保護指令(DPD)完善了個人數據在歐盟內的處理的規(guī)范。加拿大《個人信息保護和電子文件法》(PIPEDA)規(guī)定了個人數據的使用權限。這些是最早一批頒布的隱私法。歐盟在2018年出臺的《通用數據保護條例》(GDPR)引起國際廣泛關注。
在中國,政府也頒布了相關法律法規(guī)。比如2017年正式實施了《網絡安全法》,旨在保障網絡安全,維護各主體網絡空間權益,促進經濟社會信息化健康發(fā)展。另外,近日頒布的《數據安全法》有助于規(guī)范數據處理活動,保障數據安全,維護各主體數據相關權益。而且即將在11月1日生效的《個人信息保護法》也將更加有效地保護個人隱私。
新思科技軟件質量與安全部門高級安全架構師楊國梁表示:“現在,政府和企業(yè)都在推進數字化、智能化及云化轉型,安全需求不斷升溫,對網絡安全行業(yè)的重視程度也在持續(xù)提升。各方都需要加強數據安全技術的應用。”
數據安全戰(zhàn)略和框架
企業(yè)必須首先創(chuàng)建符合其業(yè)務需求的數據戰(zhàn)略和建構。這對于那些以用戶數據作為其業(yè)務戰(zhàn)略的一部分的企業(yè)來說尤為重要。這需要企業(yè)建立并協調主要指標和目標,用于監(jiān)管合規(guī)、數據安全治理、支持IT戰(zhàn)略和預估風險等。
其次,企業(yè)須進行數據查找和分類,明確訪問權限,并在企業(yè)的生命周期內管理數據集。數據分類需要注意文件、數據庫和電子郵件的敏感度;而訪問權限則規(guī)定哪些群體或個人被授予訪問權。類似地,應用需根據程序內數據的關鍵程度,以及它們是面向外部/內部,或云管理等進行分類。
此外,應由企業(yè)內不同團隊制定合理的數據安全政策和充足的執(zhí)行資源,并經執(zhí)行管理層批準。在戰(zhàn)略敲定后,企業(yè)應選擇有助于確保數據和應用安全的安全工具、產品和服務。
數據保護需要協作
首席信息安全官(CISO)的主要職責之一是保護其公司的重要數字資產,包括企業(yè)知識產權,例如轉悠源代碼和其它專利技術和機密信息。隨著數據隱私條例陸續(xù)頒布,CISO還需要保護用戶數據,包括個人身份信息、健康信息、支付卡數據等。
這些新頒發(fā)的法律法規(guī)加強了對用戶數據的使用和保留的限制。這需要企業(yè)保護用戶數據和其在內部及與處理這些數據的第三方供應商的使用。CISO 需要與不同崗位的同事協作,包括數據保護、IT 基礎設施、合規(guī)性和軟件開發(fā)部門等,以確保遵守數據保護和隱私法律、標準和指南。此外,混合云和多云服務的出現和采用為數據安全帶來了新的挑戰(zhàn)。諸如數據的地理來源、存儲位置和用戶訪問位置點等因素也進一步使數據保護變得復雜。因此,服務提供商和主要云基礎設施提供商需要采取更多、更有效的舉措以保護數據。
應用安全在數據保護中的角色
了解應用安全如何與數據和隱私保護聯系起來至關重要。越來越多行業(yè)正在數字化轉型,企業(yè)也不得不將業(yè)務數字化,并且要比競爭對手更早行動以獲得新客戶和留住客戶。在金融服務行業(yè)、醫(yī)療保健和電子商務/零售細分市場尤其如此,移動和 Web 應用程序和網站的使用量顯著增加。然而,這些網站和應用也可能成為黑客的攻擊媒介。黑客利用它們作為進入企業(yè)數據庫的入口,其中包含可以在暗網上貨幣化的敏感用戶數據。
從安全和系統(tǒng)工程的角度來看,新系統(tǒng)的軟件安全服務、架構分析和威脅建模同樣重要。CISO 應與其軟件應用開發(fā)、第三方應用采購和系統(tǒng)工程的負責人合作,以更好地保護敏感數據免受網絡攻擊。數據泄露可能導致高昂的代價。
楊國梁總結道:“雖然大家討論得較多的是數據安全,但數據安全與否其實是一種結果。歸根結底,數據不夠安全的原因在于處理這些數據的應用軟件在設計或實現上有明顯的缺陷,被攻擊者利用,而導致數據被竊取。在代碼層面進行安全檢測,甚至在設計階段就引入安全屬性,是為了從源頭上盡量規(guī)避、解決這類問題,把風險問題控制在產品推出市場之前。這也就是我們常說的安全‘左移’,在軟件開發(fā)早期就確保安全。”