大公司并不能掌控自己所'拥有'的数据

admin
admin
admin
138635
文章
114
评论
2024年9月16日20:28:49评论20 views字数 2180阅读7分16秒阅读模式

大公司并不能掌控自己所'拥有'的数据

随着威胁形势的快速发展、备受关注的数据泄露事件的增多、新法规的出台以及客户对不良数据处理的容忍度降至历史最低水平,企业实施强大的网络安全措施至关重要。然而,尽管企业尽了最大努力,但人们经常发现,它们在保护资产方面做得不够。

通常,这是由于“太多、太快”造成的。随着企业投资新技术,其日常运营正由越来越复杂和分散的技术平台支持。与此同时,他们可用的客户数据量正在增长并不断涌入,而不良行为者则不断发起更复杂的攻击。与此同时,领导者并没有充分了解或承担其网络安全计划的责任。随着数字世界随着新的威胁和法规而发展,企业领导者必须认识到数据保护的重要性。如果他们不这样做,他们就无法充分保护客户的数据,并有可能失去客户的信任,甚至失去在企业中的继续生存。

保卫金矿

数据是任何公司最宝贵的资源,对于维持业务增长和发展而言,数据就是黄金。它使 C 级高管能够审查计划并做出实时决策、预测未来结果、识别业务风险,并且一旦泄露,将产生高昂的成本。事实上,IBM 最新的《数据泄露成本报告》 指出,2024 年英国数据泄露的平均成本增加了 5%,达到 358 万英镑。

然而,许多公司无法识别或定位其重要数据。由于数据是流动的,因此它不断流入并流经整个公司,这意味着组织中的任何人都有可能访问和保存这些数据。在不经过仔细考虑的情况下集成新技术来改进工作流程并利用数据可能会使情况进一步复杂化。例如,一旦数据上传到云端,公司实际上就失去了对数据的控制。它可以在未经许可的情况下被复制和移动,并且不能被个人删除。如果数据以原始状态上传,并且考虑到云平台提供的网络安全类型,这本质上就是一场即将发生的数据泄露。

因此,企业领导者必须认识到数据的价值,并采取适当的措施来确保数据安全。以数据为中心的安全性的第一步是根据隐私标准对数据进行分类,例如,它是个人数据还是敏感数据,而不是非敏感数据。一旦确定,就可以使用隐私增强技术 (PET) 对数据进行匿名化,从而保护敏感数据。此类以数据为中心的安全措施可确保即使发生泄露,敏感信息也不会受到威胁,公司可以保持客户信任和声誉。

数据共享

缺乏数据责任感和所有权会导致数据共享和访问方面的复杂性。在某些公司,任何员工都可以自由访问数据。这会带来两种风险:第一,如果员工成为网络钓鱼攻击的受害者,不法分子就可以自由访问员工可以访问的所有内容;第二,员工可以保存数据并将其用于个人用途。这并不一定是出于恶意目的。例如,员工可以通过 ChatGPT 等公共平台运行数据,以节省时间并确保任务的准确性。在他们不知情的情况下,数据可能会被保存到公共平台并可能被泄露。建立零信任框架可以减轻这种风险:确保员工只看到与其工作量相关的数据。

与其他部门、合作伙伴和供应商共享数据而不了解他们的网络安全状况也会使重要数据面临风险,并使公司面临违反自身政策的风险。此外,从一个安全位置移动到另一个安全位置的数据被恶意行为者拦截的风险更高。在所有情况下,数据都应通过加密来保护,但是,使用假名化和匿名化对数据进行去识别化可以在数据移动时提供全面保护。

随着欧盟即将生效的新 NIS2 法规以及英国计划推出类似法案,企业很快也会发现跨境数据共享将变得更加复杂,并要求提高数据隐私。这也明确表明,当局和客户非常重视数据隐私,企业最好效仿,以避免进一步的复杂情况和巨额罚款。选择与不断变化的法规保持同步的提供商合作的数据保护平台可以确保始终遵守跨境数据流。数据保护平台还可以匿名化数据,并确保数据在静止、移动和消费过程中的安全。

安全意识

虽然企业应该始终专注于增长和创新,但了解当前的工具也至关重要。对企业现有的网络安全团队和政策缺乏了解可能会导致一系列有害问题。这将责任加到 CIO 和 CTO 身上,而不是由公司分担,使公司面临疏远并最终失去网络人才的风险。

考虑到目前网络人才短缺的问题,这是公司无法承受的。由于公司在未仔细考虑网络安全措施的情况下整合新的竞争技术,网络人才的工作量也呈指数级增长,这可能会对发展和整体安全产生负面影响。例如,虽然整合人工智能应该会推动业务向前发展,但如果不考虑网络安全和数据安全,反而会拖累业务倒退。法学硕士增加了攻击面,如果他们不负责任地使用原始数据(而不是匿名数据)进行训练,那么有价值的数据将被泄露,并导致公司损失数百万客户。网络团队必须配备适当的数据安全措施来支持业务增长。

因此,公司应该了解其网络安全计划和材料。不应将“网络安全”一词视为灵丹妙药——也不应假设任何两种产品都能提供相同程度的网络安全。相反,应该在整个组织的网络中分层部署多种解决方案,以有效控制和降低各个层面的风险。例如,云平台的网络安全应被视为城市的保护:足够有效,但不能保证保护您的家免遭盗窃。整合进一步的措施可以比喻为提供封闭式社区和家庭报警系统。在这里,数据安全平台可以被视为存储有价值数据的保险库:这样当坏人突破其他防御时,他们仍然无法访问公司的资产。

期望网络安全领域以外的企业领导者完全了解网络安全的复杂性是不现实的。然而,企业领导者有责任了解数据隐私的重要性,并时刻了解公司的网络安全流程。领导者必须为其网络人才提供支持创新、确保合规性并领先于威胁形势所需的资源。意识会滋生责任感和责任感,最终将增强数据安全性并维护客户信任。

原文始发于微信公众号(独眼情报):大公司并不能掌控自己所'拥有'的数据

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年9月16日20:28:49
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   大公司并不能掌控自己所'拥有'的数据https://cn-sec.com/archives/3174022.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息