数据泄露肯定会对你的业务造成伤害, 以及它是偶然事件还是故意行为的原因, 它会损害组织的声誉或造成经济损失. 那么,怎样才能保护你的数据呢?
让我们从基本的信息安全开始——“必需品”.“在你的网络和操作环境中,信息安全有三个组成部分需要评估:保密性, 完整性, 和可用性.
保密. 保密性涉及组织为确保数据保密或保密所做的努力. 要做到这一点, 必须控制对信息的访问,以防止未经授权的数据共享——无论是有意的还是偶然的. 维护机密性的一个关键组成部分是确保阻止未经适当授权的人访问对您的业务重要的资产. 问问你自己:
- 什么信息和系统对你最重要?
- 这些重要资产是否已确定并清点?
- 你知道他们在哪,谁有权限吗?
- 您可能需要保护哪些信息和系统?
- 获取信息和系统的途径是否得到妥善维护?
- 如何保护信息和系统免受威胁?
完整性. 完整性包括确保您的数据是值得信赖的,并且不受篡改. 只有当数据真实、准确和可靠时,才能维护数据的完整性. 以保护您数据的完整性, 你可以使用哈希, 加密, 数字证书, 或者数字签名. 以下是关于诚信的重要问题:
- 数据是否完整和准确?
- 最后一次验证这些数据是什么时候?
- 在信息和系统上存在什么样的变更控制?
- 你的变更管理过程是否被记录和遵循?
- 数据在整个生命周期中都受到保护吗?
- 你必须考虑人的整体系统, 流程, 管理生命和应用程序的工具以及从概念到退役的数据.
可用性. 保密和保持完整性的数据是无用的,除非这些数据可供组织中的人员和他们所服务的客户使用. 这意味着系统, 网络, 应用程序必须按其应有的方式和时间运行. 问这些问题:
- 数据是否可随时用于商业决策?
- 是否有例行的、安全的、经过测试的数据备份程序?
- 系统是否有适当的补丁和更新?
迅速采取行动,确保公司信息的安全,并在违规情况下保护任何已受损的数据,这一点至关重要, 但更重要的是,它有助于防止数据泄露的发生. 要支持机密性、完整性和可用性,必须具备以下条件:
物理访问控制. 限制对建筑物和关键IT区域的访问,并进行监控.
程序控制. 提高安全意识、培训、管理监督和事件响应.
技术的控制. 添加多因素身份验证、反病毒/恶意软件和需要知道的访问. 改变控制.
合规控制. 进行定期评估, 实施安全规则, 完成定期安全评估审核.
如果您不能肯定地回答这些问题,或者目前没有一个集成的信息安全框架, 那就不要纠结下一步该做什么. 联系意图的信息服务 团队今天.
By 特拉维斯·斯特朗,CISA (伍斯特哦)