隨着信息化在企業的深入部署,企業越來越多的業務被放到了互聯網上,數據安全也成了企業的重中之重,說數據已經成了企業的命脈也不爲過。因此,企業的網絡安全管理者不能只檢查數據在應用程序中是如何受到保護的,更應該知道從數據被創建到數據“生命結束”的整個生命週期中應該如何受到保護。
在過去幾年中,***的網絡***行爲已經發生了變化,***者使用病毒、***以及其他***方式來誘使員工在安全防線後面安裝惡意軟件,從而獲取和傳輸重要數據。很多企業都不知道從何下手,並且用於解決影響較低的漏洞的資源很稀缺,這最終將讓關鍵數據陷於危險之中。另外,應該採用監管控制來保護靜態數據。
對於管理以數據爲中心的漏洞,這裏提供了以下五個技巧:
1、通過按優先順序排列數據以最大限度地利用資源和作出正確的決策:任何數據丟失都可能對企業的聲譽造成嚴重影響。以數據爲中心的漏洞管理方法能夠幫助企業避免破壞性安全事故的發生,解決信息安全合規需求和控制安全總成本。企業應該分配一定資源來修復漏洞,幫助保護最重要的數據、企業及其聲譽。關鍵數據可以包括客戶名單、商業計劃、商業機密和信息安全標準和法規上規定的其他重要信息。
2、以數據爲中心的漏洞評估: 當發現有太多“高風險”漏洞,而且不知道每一個漏洞的影響時,企業很難判斷應該先解決哪些漏洞。通過以數據爲中心的漏洞評估,就能夠對漏洞的價值進行評估,這樣就能夠按照重要程度來解決漏洞。
3、需要進行全面的持續的數據評估: .根據Verizon的數據泄露調查報告,在安全事故和受害人缺乏對其操作環境(尤其是對於信息資產的存儲和狀態)的瞭解之間存在很強的聯繫。所以我們認爲知道你的數據在哪裏能夠幫助你預防這些類型的安全泄露事故。安全評估計劃應該要有一個“自上而下”的組件來檢查數據保護的情況,還有一個“自下而上”的組件來檢查已經部署的措施的情況。
4、必須考慮所有數據點: 威脅和漏洞評估方法應該擴大到所有端點以及所有形式的數據保護:1)業務路徑:代表數據的生命週期;2)技術路徑:數據滿足業務需求的路徑;3)物理路徑:確認位於業務路徑和技術路徑以外(例如打印內容和移動媒體)的數據情況。
5、安全計劃應該保護所有形式的數據: 傳統的安全評估可能只考慮了數據安全的一部分,可能錯過了可能泄露數據的明顯的漏洞。安全計劃應該能夠體現一系列保護數據的政策和標準。例如確定企業內所有權和管理責任的數據分類政策,以及涵蓋數據保存和銷燬的政策和標準等。
IT領導者和安全領導者需要做出明確的決定來促使企業努力靠近其業務目標,以數據爲中心的漏洞管理方法讓企業更加接近業務,這種方法能夠幫助企業避免安全泄露事故、維護聲譽和遵守信息安全法規,以及控制整體安全成本