Data security is the practice of safeguarding a company or individual’s data that resides in a digital format 和 can be accessed – legally or not – via the internet. 从企业的角度来看, 公司想要大力保护数据的原因有很多:商业秘密, 遵守客户或患者数据隐私法, 并保持良好的公众声誉.
公司可以通过建立一个健壮的 网络安全 包括进攻和防御措施的程序,以阻止潜在的攻击者和/或恶意行为者.
这些概念之间有一些关键的区别. 乍一看,它们似乎是一样的, 但是保护数据并不总是等同于维护数据隐私. 可能有一些数据对安全至关重要, 但在公共互联网上,任何人都可以部分地获得这些信息.
说到这一点, the main difference to be aware of is that data security safeguards digital information while data privacy is the power of the owner of the digital information to control where it goes 和 who can access it.
话虽如此, 这两个概念经常被混为一谈, 尤其是在数据泄露的情况下. 在这种情况下, 一个组织的数据安全被破坏了, which means customers who have previously submitted private data to the breached business have lost control of their private information. 这两个概念相互纠缠在一起,对业务和客户/病人/用户都有影响.
数据安全很重要,因为, 如上所述, 数据安全既影响业务,也影响作为客户与业务交互的人员, 病人, 用户, 承包商, 合作伙伴, 等. 当一个人向组织或企业提交其个人身份信息(PII)时, there are certain expectations on the part of the person that the business will do everything in their power to protect that information.
某些情况可能会对企业的声誉造成灾难性的影响. These could include delayed communication to affected parties that their PII is part of a breach or the use of faulty security products that were exploited by bad actors.
数据安全的好处是很多的,不能被夸大. 让我们从数据安全如何影响业务开始. 与内部和外部的监管标准保持一致,对业务连续性至关重要. Maintaining proper data security means a business is likely in good st和ing with governmental as well as internal compliance auditors with regard to specific st和ards like HIPAA, PCI DSS, or GDPR.
就云服务提供商(csp)而言, 在进出云端时,客户业务数据受到多种协议的保护是标准的. 数据加密层用于确保数据传输的安全性和保密性. 这为在云上运营的企业提供了安心.
就声誉而言 欧盟小型企业数据保护指南 声明“一个以勤勉的数据保护方法而闻名的组织更有可能留住用户或客户。.”
为客户, the main benefit is clear: their PII is protected 和 they need not worry about it ending up in the h和s of a threat actor looking to sell stolen data or use it for any number of other nefarious purposes.
Data security as a concept is very pointed 和 clear: any individual or organization today must take it seriously if they do not wish to become a victim. 问题是, 安全组织如何以全面的方式保护数据以更有效地挫败攻击者?
数据加密 将数据的原始格式转换为不可读的格式. 根据美国疾病控制与预防中心的数据, 加密的数据通常看起来像一长串随机字母和数字, 预期的接收者通常拥有可以将加密数据解码为可读文本的密钥.
当威胁行为者隐藏数据时, 他们试图改变构成数据原始配置的字符和数字. These changes are meant to create a feeling of confidence in 用户 due to the fact that the data are still meant to look real. 当然,数据屏蔽还可以帮助保护代码开发过程并降低风险.
This process is meant to ensure peace of mind that data will not fall into the wrong h和s due to the fact that – after it has completed its usefulness – it is erased from the internet. 当然, there is always the risk that a copy of sensitive data like PII remains somewhere on the internet or 服务器s of threat actors.
然而袭击并非100%不可避免, there is a high likelihood that anyone who has ever submitted data or completed a transaction over the internet will experience a breach of that data someday. 如果这个漏洞严重削弱了组织的防御能力, the question becomes one of data resiliency: how fast can the business or organization return operations to a normal baseline?
试图确保数据的安全,并向客户传递尽可能多的信心, 供应商总是面临风险. 威胁行为者非常擅长模仿,并且总是存在简单的人为错误的真实可能性, 但让我们来看看一些具体的风险场景:
没有人打算暴露数据,让它容易受到威胁行为者的攻击, but sometimes it happens purely by accident or repetitive behaviors – like password reusing – that don’t have malice behind them. 可以这样考虑:意外的数据暴露与意外地启用攻击者是一样的, 因此,良好的数据安全卫生始终是最佳实践.
钓鱼式攻击 typically arouse the interest of a user via a message intended to solicit a specific response like clicking a link in an email or a text message that could unknowingly download malware onto a phone or 端点. 如果该端点是大型企业网络的一部分, 这可能会让整个公司变得脆弱.
内部威胁可能来自员工, 承包商, 最高管理者, 或者任何与手头业务有关的人. 一个人可以——有意或无意地——不仅使一个网络容易被攻破或攻击, 但也有助于进一步发展.
A 恶意软件攻击 通常会在用户的系统上执行未经授权的操作. 恶意软件可以以勒索软件、间谍软件等形式出现. 在理论上, a security organization would be properly trained 和 experienced enough to contain a 恶意软件攻击 before it affected an entire 网络.
威胁参与者将部署恶意代码来破坏组织的操作,以便他们可以将数据作为人质,直到事件发生 赎金 支付. The attackers’ hope is that the desire of the company to return to normal business operations will be so strong they will simply pay the 赎金 和 be done with the entire situation.
当数据通过云网络传输时, there are more inherent risks it will be intercepted 和 stolen than if an organization only operated on-premises data centers. 然而,在当今世界,仅本地部署正成为一种越来越有限的选择. 云提供商可以在企业层面上实现快速扩展和节省资金的操作. 因此,云服务提供商和它的客户都有责任共同努力 责任分担模式 为了保护云和它所包含的数据.
以下并不是组织有效的数据安全解决方案可能需要的组件的详尽列表, 但它们对它的基础至关重要.
如上所述, 像IAM和MFA这样的认证方法有助于确保只有合适的人才能访问系统, 网络, 或应用程序.
云数据安全是对公有云和私有云平台上的信息和应用进行保护的原则. 这可以通过将网络安全应用于云基础设施来实现, 与由此产生的基础工作朝着 云安全 在这些更短暂的环境中取得成功.
防止数据丢失 工具可以帮助检测泄露后被主动泄露的信息. 他们通过监视网络端点设备并分析流量和可疑活动的交互来做到这一点. 为人员和端点建立认证和高级身份检查可以帮助降低风险.
保护企业电子邮件免受未经批准的用户的攻击,听起来像是多年前就可以解决的挑战, 但随着网络钓鱼攻击和数据泄露如此普遍, 电子邮件仍然是威胁行为者的主要机会领域.
确保安全解决方案符合各国制定的监管标准至关重要, State, 当地的, 或特定地区的管理机构. 遵从性义务总是在变化, 因此,重要的是要制定一个计划,以应对不断变化的监管规定.
密钥管理将加密控制置于用户手中. 例如, Google’s 密钥管理 Service (KMS) enables cryptographic key management in a central cloud service 和 provides the flexibility to encrypt data with either a symmetric or asymmetric key in control by the user.
简单地说, 网络访问控制 关注谁可以访问公司的网络或系统,谁不能. 身份和访问管理(IAM) 检查在这里起作用,以便对用户进行正确的身份验证.
这是确保优化密码和授权凭证以最好地保护敏感数据的实践. 这包括多因素身份验证(MFA)等安全协议。, 定期修改密码, 并主动清理整个组织的弱凭证.
在一个 零信任安全模型, 每一个人, 端点, 移动设备, 服务器, 网络组件, 网络连接, 应用程序工作负载, 业务流程, 数据流本质上是不可信的,必须经过身份验证过程才能被授予访问权限.
Let's now take a look at some of the many regulatory compliance st和ards meant to protect data across different industries 和 territories around the world.
当然,总有一些最佳实践可以用来保护数据. Let’s take a look at how organizations might go about keeping data secure on behalf of their customers – 和 their reputations: