寫在前面:數據風險評估是對組織內數據安全現狀的全面認識。國內也有多家公司專注數據安全這個領域。在項目中實際遇到的問題是敏感數據的發現,對整體數據的分類分級,包含結構化和非結構化數據,使用自動化工具高效完成這個任務,還沒有看到特別好的方案。文中提到的Spirion,看其產品和方案介紹,好像做的挺好。大家可以參考。


什么是數據風險評估(Data Risk Assessment),為什么你的業務需要?

SPIRION    2022年6月2日

了解敏感數據保存的位置,以及它所具有的風險,對于正確的數據保護至關重要。

    

    根據身份失竊資源中心的數據,2021年1月,網絡犯罪分子在全球入侵了超過8.78億條數據記錄,在2022年第一季度,超過90%的數據泄露與網絡攻擊有關。

    在過去幾年里,伴隨著新數據產生和消費爆炸式增長,網絡犯罪迅速上升。研究表明,在許多企業中,數據產量以每月60%以上的速度增長,部分原因是組織可以從更多的來源收集信息,比以往任何時候都更容易。

    事實上,一些公司報告說,他們從1000個或更多的數據源中提取數據來支持關鍵任務應用程序,如商業智能(BI)、分析系統和機器學習(ML)平臺。雖然更多可用的數據對渴望在市場上獲得競爭優勢的企業來說是好事兒,但這也是一個重大的風險領域,如果他們不小心的話,可能會導致災難。    

    未知數量的數據可能包含敏感文件,如個人身份信息(PII)、非公開個人信息和其他受監管的數據,可能存儲在本地、云、電子郵件和其他安全性或合規性未知的位置,使它們暴露在網絡犯罪分子面前,或者業務上意外丟失。

    因此,世界各地的業務和IT領導者都在努力尋找解決方案,幫助他們提高發現和保護數據的能力,同時還允許他們充分利用數據進行洞察和戰略業務規劃。

    因此企業及其信任的合作伙伴越來越多地采用數據風險評估(DRA)解決方案。這使他們能夠極大地提高識別和保護敏感數據的能力,無論這些數據是否駐留在IT環境中,同時還提高了他們可能甚至不知道存在的信息的戰略價值。

風險顯著降低的內容和背景

    在Spirion隱私級數據發現方案的支持下,數據風險評估對以前隱藏的敏感數據提供了無與倫比的可見性和準確性,幫助客戶制定以數據為中心的路線圖,以實現更強大的安全和數據隱私態勢

    具體來說,數據風險評估報告對于識別安全控制和業務流程中的差距至關重要,這些缺失大大增加了災難性數據泄露或不遵守嚴格的數據隱私法規(如GDPR和CCPA)而受到損害利潤的處罰的幾率。

    數據風險評估報告評估關鍵系統和敏感數據風險,按風險級別對數據進行排序,使企業能夠主動工作以減少風險暴露。客戶可以一目了然地查看有關已暴露敏感數據的重要細節,例如:

-端點名稱

-位置路徑

-數據類型

-匹配的數量

-位置搜索

-文件類型

    通過確定信息環境中敏感數據的數量和相對脆弱性,團隊可以更好地了解如何在組織的每個層面(從端點和應用程序到云、數據庫和文件服務系統)采用加固的安全和隱私協議,以及在哪里集中精力以獲得最大程度的保護。

真正的商業意義,實際的商業結果

    數據隱私和安全從未像現在這樣重要,也從未像現在這樣具有挑戰性。現在,每次數據泄露的平均成本超過400萬美元,隨著攻擊面繼續增長,攻擊本身變得更加復雜和難以統計,破壞的程度將繼續增加。

    數據風險評估可以對高度敏感的數據進行智能搜索,包括銀行賬戶和信用卡號碼、駕照和出生證明、護照、電子郵件地址和其他高價值的網絡犯罪目標。

    數據風險評估是任何全面的數據隱私和安全策略的重要組成部分。具體來說,數據風險評估可以通過幫助減少罰款、訴訟和合規處罰,從而極大地減少潛在違規行為的財務和聲譽影響。以及通過強大的IT安全自動化來優化資源生產力,從而報告之后減輕有形的數據風險。

https://www.spirion.com/blog/whats-a-data-risk-assessment-and-why-does-your-business-need-one/

手把手教你數據風險評估

  • Karen Scarfone, Scarfone Cybersecurity    2022年7月


    如今,大多數企業都將敏感數據視為最有價值的資產。這包括個人記錄到知識產權和其他專有信息。

    每個組織都需要保護其敏感數據的安全和隱私,以避免數據泄露、知識產權被竊和其他可能導致罰款、訴訟,甚至在最壞的情況下導致業務失敗的事件。

什么是數據風險評估?為什么它很重要?

    數據風險評估是檢查組織如何保護其敏感數據以及需要進行哪些改進。

組織應定期進行數據風險評估,作為審計的一種形式,以幫助發現信息安全和隱私控制方面的缺陷,并降低風險。在數據泄露后,無論是有意還是無意,數據風險評估也是必要的,以改善控制并降低未來發生類似泄露的可能性。

執行數據風險評估的5個步驟

    使用以下五個步驟執行全面的數據風險評估。

1.清點敏感數據

    檢查端點、云服務、存儲媒介和其他位置,以查找并記錄所有的敏感數據。數據清單應包括可能影響風險要求的任何特征。例如,存儲數據的地理位置會影響適用哪些法律法規。

    確定每類敏感數據的負責人,以便在必要時與他們進行溝通。

2.為每種數據實例進行數據分類

    每個組織都應該已經對所有敏感數據定義了數據分類,例如“受保護的健康信息”和“個人身份信息”。這些定義應該指出,對于每種敏感數據類型,應該強制或推薦哪些安全和隱私控制。

    即使數據已經有了分類,也要定期重新檢查。數據的性質會隨著時間的推移而改變,可能會出現適用于爭議數據的新分類。

3.優先考慮要評估哪些敏感數據

    一個組織可能有大量的敏感數據,以至于在每次評估時都不可能審查所有數據。如果有必要,優先考慮最敏感的數據、要求最嚴格的數據或沒有進行評估的時間最長的數據。

4.檢查所有相關的安全和隱私控制

    審計保護敏感數據的控制,如使用、存儲和傳輸。常見的審計步驟包括:

  •     驗證最小權限原則。確認只有必要的用戶、進程服務、管理員和第三方(例如,業務合作伙伴、承包商和供應商)才有權訪問敏感數據,并且他們只有所需的訪問權限,例如只讀、讀寫等。
  •     確保所有限制訪問數據的政策都得到積極執行。例如,組織可能基于以下因素限制對某些敏感數據的訪問:
  • -用戶位置
  • -數據位置
  • -一天中的時間
  • -星期幾
  • -用戶的設備類型
  •     確保使用了所有其他必要的安全和隱私控制措施。降低風險的常用工具包括:
  • -數據防泄露軟件(DLP)
  • -防火墻
  • -加密
  • -多因素身份驗證
  • -用戶和實體行為分析(UEBA)
  •     識別數據保留違規。確定是否存在遵守數據保留策略應該銷毀的數據。5.記錄所有安全和隱私控制方面的缺陷

    雖然識別安全和隱私缺陷屬于數據風險評估的范圍,但修復它們不在其中。然而,評估包括以下內容是合理的:

  • -每項缺陷的相對優先級
  • -解決每個缺陷的建議行動方案

    這些建議為更好的數據安全提供了理想的路線圖。風險矩陣可以根據潛在后果的嚴重程度和發生的可能性幫助組織問題并確定優先級。

在數據風險評估中,風險矩陣能夠幫助發現高風險數據

    制定風險緩解計劃的五個步驟

數據風險評估應為后續的風險緩解計劃提供信息

如何運用數據風險評估結果

    企業領導人應制定戰略,以緩解數據風險評估中發現的安全和隱私缺陷,同時考慮修復建議,并優先考慮高風險問題。

    最終,數據風險評估的輸出應成為組織風險管理和緩解計劃的主要輸入,從而實現更明智的決策,有助于改善數據保護。

https://www.techtarget.com/searchsecurity/tip/How-to-perform-a-data-risk-assessment-step-by-step

數據風險評估中的幾個概念

    

    許多組織都了解保護個人身份信息的重要性,但并非所有組織都知道如何正確執行數據風險評估。以下是在組織中保護數據需要了解的內容。

    存儲個人身份信息(PII)的組織對犯罪分子來說是一個有吸引力的目標。不幸的是,許多存儲敏感數據的公司沒有正確跟蹤敏感數據及其存放位置,產生可利用的漏洞,從而導致代價高昂的數據泄露。

    作為一種保護措施,組織應定期進行數據風險評估,以審查和保護敏感信息。但是,什么是數據風險評估?執行數據風險評估的最佳方式是什么?

什么是數據風險評估?

    數據風險評估是組織審查其控制下的敏感數據的過程。這包括在組織的IT生態系統中存儲、訪問和管理的所有數據,包括所有平臺、服務器和云環境。

什么構成敏感數據?

    在您的組織能夠正確保護其敏感數據之前,您必須首先了解系統中包含的數據。這就是為什么正確的數據分類對于數據安全至關重要。

在決定哪些數據應列為敏感級別時,請謹記:

  • -跨組織使用的數據類型
  • -數據可能存放的位置
  • -數據對組織的整體價值
  • -您所在行業的法規合規需求
  • -訪問權限

    不幸的是,許多組織依賴于手動分類,如果分類指南在沒有對受影響的信息進行適當更新的情況下更改,則手動分類很快就會過時。更糟糕的是,高達55%的組織數據是暗數據,這些數據要么未被使用,要么公司不知道自己擁有這些數據。

數據安全風險評估如何幫助保護組織

    數據風險評估可以發現您組織所擁有的敏感信息。此外,這種增加的可見性可以更好地了解組織可能面臨的潛在風險,包括惡意的和意外的。    

    有效的數據安全風險評估計劃的幾個主要產出包括:

  • -減少敏感信息的占用。這使得數據安全計劃能夠更有效地工作。
  • -解決授權疏忽。數據風險評估可以暴露對敏感信息訪問過多或過少的用戶。在前一種情況下,可以減少訪問以降低不適當訪問的風險,而解決后一種情況可以提高組織效率。
  • -制定適當的安全措施。有效的風險評估允許組織通過實施數據保護計劃來解決安全缺陷。
  • -降低運營成本。通過更好地理解其控制下的數據,組織可以將資源集中在關鍵數據和基礎設施上。在發生數據泄露時,適當的計劃還可以降低成本。

數據風險評估的組成部分

    數據風險評估可以分為三個不同的部分:發現、評估和行動。在許多情況下,這些步驟都是同時執行的,特別是在處理敏感數據的場景中。

    此外,應定期進行風險評估。盡管存在關于應該多久進行一次評估的各種建議,但業務的性質、所管理的數據以及以前評估的結果將決定您的企業應該多久進行一次安全評估。然而,應該注意的是,風險在任何情況下都不是靜態的,評估的性質和頻率應該是組織內持續的對話內容。

發現和分類組織數據

    如果沒有正確的數據發現和分類實踐,您的風險評估將是次優的。您必須知道所有數據的位置及其敏感性級別,以確保數據按照內部建立的框架進行分類。還要記住您可能遇到的任何監管要求。

    在確定分類級別時,應考慮以下變量:

  • -機密性。誰應該訪問數據?
  • -價值。數據對組織操作有多重要,如果數據被未經授權的一方訪問、修改或銷毀,組織會遭受什么損害?
  • -可用性。為了進行日常業務操作,數據必須有多容易獲得,過于限制性的協議是否會阻礙操作?

    雖然一些組織選擇手動處理這些分類任務,但這項工作通常是不可持續或不可擴展的,特別是在高度監管的環境中。由于需要用戶輸入和強制執行,分類變得緩慢、低效,并且無法適應不斷變化的組織需求。出于這個原因,最好考慮一種自動化的分類方法,以確保獲得可能的最佳結果。

評估數據安全風險

    安全風險可以有許多不同的形式。雖然勒索軟件、網絡釣魚攻擊或類似事件等直接攻擊是一種明顯且不斷增長的威脅,但這些并不是數據泄露的唯一入口點。也不是所有的風險都可以歸因于惡意。通常,意外的疏忽也同樣危險。

    數據的常見風險包括:

  • -密碼管理不善。超過60%的入侵可以追溯到容易猜測或其他薄弱的密碼。
  • -第三方的訪問。如果獲得訪問權限的外部方未能制定適當的數據安全措施,您的系統也可能受到威脅。
  • -意外的訪問。如果沒有正確的的憑證管理,組織內的員工或其他個人可以有意或無意地訪問敏感信息。
  • -錯放和被盜的端點設備。保存在筆記本電腦、硬盤驅動器或其他未加密設備上的數據很容易落入壞人之手。

    雖然這個列表并不詳盡,但它代表了您的組織可能面臨的威脅的一個樣本。為了確定組織內的獨特風險,您需要包括整個領導團隊的觀點,而不僅僅是IT部門的觀點。通過引入額外的視角,您的組織將更好地準備應對威脅。

采取行動減輕風險和阻止威脅

    如果您的組織不能解決評估期間發現的風險,那么找到數據所在的位置并識別威脅都是徒勞。必須盡快解決對數據的威脅,以降低數據泄露和其他安全風險的可能性。從基本的端點安全到公司層面的全面政策變更,以下是您的組織可能需要解決風險的一些方法:

  • -實施備份和數據加密等安全措施,以更好地保護數據。
  • -創造一種認識到數據安全重要性的公司文化。
  • -建立一個全面的數據泄露響應計劃,以減輕損失并改善響應
  • -通過強大的安全和隱私產品滿足數據安全需求。

如何主動滿足數據安全需求

    準備數據安全風險評估的最佳方法是使用為組織定制的解決方案來保護敏感數據。組織通過自動化、實時和持久的數據分類,采取前瞻性的方法來實現數據安全。這個堅實的基礎為開始數據安全風險評估創造了理想的條件。

(完)

大數據 風險評估
撤稿糾錯
本作品采用《CC 協議》,轉載必須注明作者和本文鏈接