数据是具有战略价值的核心资产。对于很多企业来说,数据是他们关键的生产要素;对于个人来说,数据安全是个人财产安全和隐私保护的必要前提。如今企业运营越来越数字化,他们必须在应用安全流程中采取合适的举措以确保数据安全。尤其是随着各种数据隐私法律法规的颁布,企业需要部署数据安全策略,以更好地实现合规性。
新思科技认为企业要更好地保护敏感数据,符合当地法律法规要求,就必须创建数据安全策略和框架,多部门协作共同保障数据安全。
世界各地的消费者隐私法
欧盟数据保护指令(DPD)完善了个人数据在欧盟内的处理的规范。加拿大《个人信息保护和电子文件法》(PIPEDA)规定了个人数据的使用权限。这些是最早一批颁布的隐私法。欧盟在2018年出台的《通用数据保护条例》(GDPR)引起国际广泛关注。
在中国,政府也颁布了相关法律法规。比如2017年正式实施了《网络安全法》,旨在保障网络安全,维护各主体网络空间权益,促进经济社会信息化健康发展。另外,近日颁布的《数据安全法》有助于规范数据处理活动,保障数据安全,维护各主体数据相关权益。而且即将在11月1日生效的《个人信息保护法》也将更加有效地保护个人隐私。
新思科技软件质量与安全部门高级安全架构师杨国梁表示:“现在,政府和企业都在推进数字化、智能化及云化转型,安全需求不断升温,对网络安全行业的重视程度也在持续提升。各方都需要加强数据安全技术的应用。”
数据安全战略和框架
企业必须首先创建符合其业务需求的数据战略和建构。这对于那些以用户数据作为其业务战略的一部分的企业来说尤为重要。这需要企业建立并协调主要指标和目标,用于监管合规、数据安全治理、支持IT战略和预估风险等。
其次,企业须进行数据查找和分类,明确访问权限,并在企业的生命周期内管理数据集。数据分类需要注意文件、数据库和电子邮件的敏感度;而访问权限则规定哪些群体或个人被授予访问权。类似地,应用需根据程序内数据的关键程度,以及它们是面向外部/内部,或云管理等进行分类。
此外,应由企业内不同团队制定合理的数据安全政策和充足的执行资源,并经执行管理层批准。在战略敲定后,企业应选择有助于确保数据和应用安全的安全工具、产品和服务。
数据保护需要协作
首席信息安全官(CISO)的主要职责之一是保护其公司的重要数字资产,包括企业知识产权,例如转悠源代码和其它专利技术和机密信息。随着数据隐私条例陆续颁布,CISO还需要保护用户数据,包括个人身份信息、健康信息、支付卡数据等。
这些新颁发的法律法规加强了对用户数据的使用和保留的限制。这需要企业保护用户数据和其在内部及与处理这些数据的第三方供应商的使用。CISO 需要与不同岗位的同事协作,包括数据保护、IT 基础设施、合规性和软件开发部门等,以确保遵守数据保护和隐私法律、标准和指南。此外,混合云和多云服务的出现和采用为数据安全带来了新的挑战。诸如数据的地理来源、存储位置和用户访问位置点等因素也进一步使数据保护变得复杂。因此,服务提供商和主要云基础设施提供商需要采取更多、更有效的举措以保护数据。
应用安全在数据保护中的角色
了解应用安全如何与数据和隐私保护联系起来至关重要。越来越多行业正在数字化转型,企业也不得不将业务数字化,并且要比竞争对手更早行动以获得新客户和留住客户。在金融服务行业、医疗保健和电子商务/零售细分市场尤其如此,移动和 Web 应用程序和网站的使用量显着增加。然而,这些网站和应用也可能成为黑客的攻击媒介。黑客利用它们作为进入企业数据库的入口,其中包含可以在暗网上货币化的敏感用户数据。
从安全和系统工程的角度来看,新系统的软件安全服务、架构分析和威胁建模同样重要。CISO 应与其软件应用开发、第三方应用采购和系统工程的负责人合作,以更好地保护敏感数据免受网络攻击。数据泄露可能导致高昂的代价。
杨国梁总结道:“虽然大家讨论得较多的是数据安全,但数据安全与否其实是一种结果。归根结底,数据不够安全的原因在于处理这些数据的应用软件在设计或实现上有明显的缺陷,被攻击者利用,而导致数据被窃取。在代码层面进行安全检测,甚至在设计阶段就引入安全属性,是为了从源头上尽量规避、解决这类问题,把风险问题控制在产品推出市场之前。这也就是我们常说的安全‘左移’,在软件开发早期就确保安全。”