数据管理与安全控制的整合框架
关键要点
- Twitter前安全负责人Peiter Zatko在参议院作证时强调了企业对数据管理的普遍忽视。
- 企业在大规模多云环境中面对数据分散和安全管理挑战。
- 提出建立统一的数据控制框架,以提升数据安全、隐私、治理和合规能力。
当Peiter “Mudge” Zatko在去年九月于美国参议院委员会作证时,谈到了Twitter在安全上的诸多不足,提出了一些应该引起各企业关注的问题。
Zatko作为Twitter前安全负责人,在向联邦政府投诉时指出了多项安全漏洞,称公司故意忽视这些问题。他特别提到的两个相关问题是许多企业可能面临但并不知晓的,比如:“他们不知道自己掌握的数据是什么,存放在哪里,也不知道这些数据的来源,因此理所当然地无法保护这些数据。”此外,他还补充说道:“员工必须在过多的系统中访问过多的数据。”
在当今的商业环境中,企业积累了大量数据——包括数TB和PB的信息,这些信息遍布于本地和云端的服务器以及多种应用和存储解决方案中。保护这些信息的责任被分散在安全、隐私和数据治理等不同部门之间,常常使用不同的工具。然而,传统的解决方案并未设计用于监控和控制大规模多云环境中的数据,也无法处理迅速变化的法规环境。这导致了一套分离的数据分析和控制能力,增加了成本和复杂性,同时也出现了数据分类不一致、缺乏可见性和有限的可扩展性等问题。
我们可以通过重新考虑数据管理方式来解决这些问题,构建以所有敏感数据的中央视图为基础的统一数据控制框架,提供细粒度的洞察,以支持数据安全、隐私、治理和合规等要求。这种协调的方法可以帮助企业在分布式数据集中强制执行控制和政策,包括应用零信任和最小特权原则,防止未授权访问。正如Zatko在参议院所说:“如果没有锁,拥有钥匙的人又有什么用呢?”
统一数据控制框架的优势
统一的数据控制框架涵盖多种技术和系统,可以在以下几方面提升企业的安全做法:
优势
提供一致、准确的敏感数据视图,供数据安全、隐私、治理和合规团队使用。
抽象政策并整合到不同系统中,监控和控制对敏感数据的访问。
自动化数据映射、隐私评估及其他基于个人信息的隐私要求。
自动化遵循隐私法令的合规性,包括数据主体请求(DSR),这些已经成为GDPR和CCPA等法律的一部分。
在发生数据泄露前后,自动化事件分析与响应。
追踪跨境数据处理问题,以遵守多项法规。
如何实施统一的数据控制
以下几个步骤有助于构建统一数据控制框架的基础:
- 了解公司的资产: 识别多云环境中的所有数据系统,包括云原生和非云原生。应包括已经迁移到云中产生的“黑暗数据”资产。
- 查找和分类敏感数据: 发现并分类所有敏感和个人数据,包括由GDPR、CCPA及其他法规定义的特殊类别数据。
- 丰富数据: 添加所有安全、隐私和治理使用案例所需的元数据、标签和上下文。这将支持安全与隐私政策及其他治理活动的自动创建和执行。
- 映射数据: 将所有个人数据映射到其个人所有者,以支持个人隐私权利。
- 了解用户访问点: 理解用户和角色以及他们的访问权限如何映射到敏感数据,以便可以设置适当的保护措施。
- 管理数据风险: 跟踪组织的数据环境中的风险,并优先处理问题。
在变革过程中,内部阻力是不可避免的,包括对新技术解决方案的财务投入反对和跨不同组织预算线的项目支出争斗。为了克服这些挑战,可以考虑以下最佳实践:
- 教育: 组织内所有参与的小组需要了解和理解这种集成的重要性,沟通发生的时机和方式
