Безопасность данных: защита данных, которые вы контролируете — и не контролируете
Безопасность данных — это крепкий орешек, даже для тех, кто играет все важные роли в цифровой безопасности на лучших предприятиях. Давление работы по защите данных огромно, потому что вы несете ответственность за системы, которые вы непосредственно контролируете, а также за системы, с которыми вы не имеете большого отношения. К сожалению, иногда это является частью игры. Поэтому, если происходит утечка данных или нарушение безопасности, ответственность ляжет на вас.
Отсутствие контроля над процессами и системами — одно из самых больших препятствий для любого человека, занимающего руководящую роль в аналитическом центре по безопасности данных в любом бизнесе или организации. Неизвестные процессы и системы, безответственные пользователи, нарушители спокойствия, кражи внутренних данных, киберпреступники, сбои в центрах обработки данных и поставщики серверов — слишком много переменных, чтобы один человек мог их контролировать.
Просто посмотрите сезон «24», и вы можете получить представление! Ход «Черная шляпа» — еще один удивительный победитель в этой юрисдикции. Кто-то может играть фьючерсами на свинину и влиять на цену акций — это нехорошо!
Следовательно, лидеры по безопасности данных должны смириться с неопределенностью и отсутствием контроля и подготовиться к тому, чтобы привести даже самые едкие ситуации к состоянию стабильности. Такое отношение, наряду с пониманием некоторых основ безопасного хранения данных, поможет вам сохранить контроль.
Мы позволим вам позаботиться об «отношении» и позаботимся обо всем остальном. Читать дальше.
Облако не становится автоматически более безопасным
Одно из распространенных заблуждений, которым слепы лица, принимающие решения в области безопасности данных, заключается в том, что облачные решения для хранения данных автоматически заботятся о безопасности. В какой-то степени это верно, но на самом деле это не основное предположение, которое вы можете себе позволить. Если вы храните много корпоративных данных в облаке, вам нужно позаботиться о безопасности.
Облако по своей сути основано на идее динамизма. Виртуализация — это ключевой элемент облачной инфраструктуры. Кроме того, облачные решения достаточно динамичны, чтобы добавлять рабочие нагрузки, изменять настройки и удалять экземпляры за считанные минуты. Поставщики облачных решений продвигают возможность быстрого масштабирования вверх и вниз как одно из своих УТП.
С другой стороны, конфигурации безопасности зависят от идеи повторяемости и стабильности. Они ориентированы на процессы и не могут автоматически реагировать на динамические изменения, происходящие в облаке. Конечно, это можно до определенной степени автоматизировать, но не более того. Всегда задачи можно автоматизировать, но решения, принимаемые для выполнения этих задач, зависят от контекста и, следовательно, требуют контроля со стороны человека.
Надлежащие обновления конфигураций безопасности, отражающие обновленное состояние экосистемы облачных хранилищ, могут занять дни, недели и даже месяцы. У кого есть на это время? Вечеринка на следующей неделе! ОК, вернемся к теме. Три наиболее важных соображения безопасности данных, связанные с любым важным решением, связанным с облачным хранилищем данных:
- Необходимость обновления политики.
- Необходимость реализации правильных уровней брандмауэров.
- Утверждения для обновлений политики и брандмауэра.
Таким образом, избегайте непреднамеренных нарушений требований безопасности, выполняя требования безопасности облака.
Зонтичная политика без исключений
Вопрос — кто несет ответственность за каждое нарушение безопасности? Если вы входите в группу обеспечения безопасности вашего предприятия, то это вы! Это форма, которую вы носите, верно? Оставьте все остальное в стороне — в ваших же интересах внедрить сверхстрогие политики безопасности без исключений. Сейчас не время есть пончики и рисковать тем, что правильные обновления безопасности не будут сделаны или правильные протоколы безопасности не будут приняты. Вы можете съесть эти шоколадные батончики и старомодные глазированные пончики позже!
В более практическом плане рассмотрите ситуацию, когда вы решаете отвернуться, когда узнаете, что некоторые из ваших сотрудников используют одни и те же учетные данные для входа в систему. Фактически это означает, что даже если ваше предприятие прекратит пользоваться услугами одного из них, он или она сможет использовать учетные данные другого человека, чтобы войти в систему и извлечь информацию или, что еще хуже, удалить информацию. Опять же, если это произойдет на ваших часах, у вас будут проблемы.
Ты им не друг. Вы лидер команды не просто так.
Именно здесь становится очевидной необходимость строгого соблюдения протоколов и политик безопасности. Безопасность данных — это не удобство. Дело даже не в балансе между удобством и безопасностью. Он направлен на создание максимально надежной защиты самого ценного актива организации — данных.
От «надежного» к «проверенному»
Обычные меры безопасности данных были подвергнуты критике за второстепенный и поверхностный подход, и это правильно. Основное предположение традиционных мер заключалось в том, чтобы не допускать ненадежных запросов доступа, и все в пределах границы будет в безопасности. Однако в момент нарушения вся модель рушится, как карточный домик. Говоря о «Карточном домике», спасибо Netflix за продолжение шоу даже без Кевина Спейси. Ладно, снова к теме.
Вот где вас спасает концепция «Нулевого доверия». Внедрите политики безопасности, направленные на проверку подлинности и безопасности каждого запроса на доступ, даже на периферии защищенной сети компании. Идея заключается в том, чтобы перейти от «надежных и ненадежных» к «проверенным и непроверенным». До проверки сетевой трафик должен рассматриваться как непроверенный.
Со временем вы сможете внедрить более строгий контроль на основе профиля пользователя, критичности данных и географического положения. Эти параметры помогают реализовать микросегментированный подход к безопасности. Это позволяет легко обнаруживать аномальный трафик и запросы на доступ и помогает предотвратить утечку данных.
Например, представитель службы поддержки может иметь доступ к истории покупок клиента, но не к кредитной истории клиента.
Администратору HRIS (информационной системы управления персоналом) потребуются организационные данные сотрудника, но на самом деле ему не потребуется изменять системные настройки, относящиеся к информационным панелям производительности сотрудников. Такой подход к безопасности требует, чтобы информационный запрос «доказывал свою потребность в знании» большего количества информации, чем то, что доступно по умолчанию.
Возвращаясь к тому, что было объяснено в предыдущем разделе, безопасность — это не чье-либо удобство. Пока у вас есть иерархия утверждения запросов, можно учесть каждую исключительную потребность, даже если это требует времени. Спросите себя — с чем бы вы предпочли жить — с задержкой на несколько дней специальных информационных запросов? Или плохие отзывы о том, как хакеры удалили информацию о кредитных картах тысяч клиентов из баз данных вашего бизнеса?
Является ли безопасность данных иллюзией?
Возвращаясь к тому, что было сказано ранее, руководителям по безопасности данных приходится нелегко; они отвечают за безопасность данных, когда внутренние и внешние переменные, работающие против них, просто невозможно предсказать и контролировать.
Тем не менее, сохраняя свои основные параметры безопасности на высоком уровне и придерживаясь подходов, представленных в этом руководстве, вы сможете сохранить контроль. Джон Макафи однажды заметил, что безопасность — это иллюзия. Ваша работа — не соглашаться с ним, и ваша обязанность — сделать все возможное, чтобы заставить его ошибаться.