數(shù)據(jù)安全是一個多方面的專業(yè)領域,需要組織的 CIO、IT 部門以及涉及組織數(shù)據(jù)的幾乎所有業(yè)務領域的廣泛參與。隨著網(wǎng)絡犯罪和數(shù)據(jù)泄露的發(fā)生率不斷增加,確保客戶數(shù)據(jù)的安全至關重要。疏忽或?qū)Π踩ㄒ?guī)的誤解可能會損害客戶的敏感信息和組織的聲譽。
數(shù)據(jù)管理
數(shù)據(jù)安全的一個關鍵組成部分是全面了解貴公司負責哪些數(shù)據(jù)。利益相關者應大力投資于圍繞數(shù)據(jù)管理的流程,例如DAMA提供的流程。DAMA 大量參與了DMBoK的出版。DMBoK 定義了十個他們認為是信息和數(shù)據(jù)管理核心的知識領域;
- 數(shù)據(jù)治理(連接所有其他領域的核心知識領域)
- 數(shù)據(jù)架構(gòu)管理
- 數(shù)據(jù)開發(fā)
- 數(shù)據(jù)安全管理
- 數(shù)據(jù)運營管理
- 數(shù)據(jù)倉庫和商業(yè)智能
- 文檔和內(nèi)容管理
- 參考和主數(shù)據(jù)管理
- 數(shù)據(jù)質(zhì)量管理
- 元數(shù)據(jù)管理
DAMA-DMBoK 并不聲稱是數(shù)據(jù)管理的完整權(quán)威,但它確實試圖為數(shù)據(jù)管理功能、術語和最佳實踐提供集中資源。關鍵決策者和數(shù)據(jù)管理專家至少應該精通核心功能知識領域,以便為您的組織提供基礎,在成功的數(shù)據(jù)管理實踐中建立業(yè)務能力。
此外,員工應熟悉數(shù)據(jù)保護指南以及相關法律法規(guī)以實施到他們的工作流程中。聯(lián)邦和州法律,例如SOX、HIPAA、FISMA和GLB,可能會從您的組織中引出有關數(shù)據(jù)管理的特定合規(guī)性要求。確保您的團隊了解特定數(shù)據(jù)的存儲內(nèi)容、方式和位置,同時注意您的組織對強大數(shù)據(jù)管理最佳實踐和信息安全的承諾。
密碼安全和2FA
密碼安全可能是最重要但也是最容易被忽視的數(shù)據(jù)安全領域之一。密碼是您的組織抵御未經(jīng)授權(quán)訪問的第一道防線,需要唯一的字符序列才能訪問設備、服務、資源或文檔。密碼對于用戶、用戶團隊或組織(在 Wi-Fi 網(wǎng)絡的情況下)可以是唯一的。安全密碼的標志包括最小長度、缺乏基于字典的措辭以及密碼的頻繁強制輪換。
NIST(美國國家標準與技術研究院)發(fā)布了您的組織可以使用的定期更新的密碼安全和信息安全指南。過去,NIST 建議使用具有唯一字符和隨機評分的極其復雜的密碼。在最近的更新中,您會發(fā)現(xiàn)這種情況發(fā)生了變化。NIST 認識到,在過去的幾十年里,當密碼復雜性要求很繁瑣時,非技術性最終用戶開始簡單地寫下他們的密碼——有效地否定了從執(zhí)行嚴格而復雜的密碼策略中獲得的任何安全收益。
除了修改復雜性要求外,NIST 已經(jīng)建議組織實施一種雙因素身份驗證形式已經(jīng)有一段時間了。
身份驗證依賴于某些“因素”;
- 您知道的東西,例如密碼或密碼短語。
- 您擁有的東西,例如硬件令牌或電話。
- 屬于您的一部分,例如您的眼睛、指紋或任何生物識別。
雙重身份驗證 (2FA) 或多重身份驗證 ( MFA ) 是上述身份驗證因素中的兩個或多個的組合。在其初期,2FA 是使用標準SMS實現(xiàn)的,這是一種通過OTA文本消息發(fā)送一次性密碼的高度不安全的方法。NIST 在特別出版物 800-63B 中正式棄用了此消息。Duo、OneLogin、Twilio、Google 和 Microsoft 等公司提供實施安全、符合 NIST 的多因素身份驗證框架的應用程序和服務。
遵守
幾十年來,私營企業(yè)的某些部門一直受美國有關數(shù)據(jù)安全的特定立法的約束。由于所處理數(shù)據(jù)的敏感性,金融、醫(yī)療保健和教育領域的企業(yè)尤其受到關注。從社會安全號碼和地址,到賬戶信息和獲取數(shù)千億美元的資金,這些行業(yè)掌握著全球金融健康的關鍵。因此,立法者和監(jiān)管機構(gòu)制定了有關保護這些數(shù)據(jù)安全的具體立法。
特定的美國立法,包括 HIPAA、公平信用報告法 ( FCRA ) 和電子通信隱私法 ( ECPA )) 已由美國政府建立此類監(jiān)督和監(jiān)管。在歐洲,歐盟通用數(shù)據(jù)保護條例 ( GDPR ) 適用于更廣泛的經(jīng)濟領域。這些特定的法律和法規(guī)范圍廣泛,并管理著如何獲取、保留和使用客戶數(shù)據(jù)。
隱私聲明
如今,僅僅為您的網(wǎng)站起草一份通用的隱私聲明是不夠的。相反,組織需要確保其隱私聲明深入、合乎邏輯且易于客戶理解。有效的隱私聲明應清楚地描述您的企業(yè)從客戶那里收集的私人信息、這些信息如何使用或與任何第三方組織共享,以及數(shù)據(jù)的存儲時間。隨時了解客戶數(shù)據(jù)的保留時間和使用方式。如果客戶決定不希望他們的信息存儲在您的站點上,您必須確保并傳達相應的程序,允許他們從您公司的服務器中刪除他們的數(shù)據(jù)。
如果不深入了解數(shù)據(jù)管理最佳實踐,也不了解在當前基礎架構(gòu)中要評估哪些指標,組織可能會成為罰款、法律制裁以及更糟糕的是客戶數(shù)據(jù)受損的犧牲品。
文章鏈接: http://m.qzkangyuan.com/10833.html
文章標題:評估您的數(shù)據(jù)安全-確保客戶安全的不尋常常識
文章版權(quán):夢飛科技所發(fā)布的內(nèi)容,部分為原創(chuàng)文章,轉(zhuǎn)載請注明來源,網(wǎng)絡轉(zhuǎn)載文章如有侵權(quán)請聯(lián)系我們!
