数据风险评估 (DRA) 是审查存储和管理敏感数据(包括知识产权和个人身份信息 (PII))的位置的过程。通过采用系统化方法,DRA 可以审查敏感数据的位置、访问者以及对数据访问控制所做的任何更改。
通常,公司知道他们维护敏感信息,但他们可能无法识别所有类型的数据及其存储位置。数据风险评估包括检查数据库、文件、共享驱动器和协作工具,以确定它们是否包含关键员工、客户、项目、客户或业务敏感信息。
为什么数据风险评估很重要?
安全界有句话说,你无法保护你不知道自己拥有的东西。数据风险评估可帮助您了解可能导致安全或隐私侵犯的所有潜在威胁向量。
数据风险评估使您能够评估:
管理 PII 的风险
法律、法规和行业标准合规状况
组织风险承受能力基线
增加数据泄露或破坏可能性的潜在漏洞
安全关键绩效指标
额外的数据安全投资需求
强大的数据风险评估通常遵循三个步骤。
第一步是全面了解您存储、收集和传输的所有数据(称为数据足迹)。参与此过程时,您需要定义:
数据所有者/数据管理员:部门或域中负责数据收集、保护和质量的人员。
数据类型和属性:通过分类来识别和标记敏感文件以增强控制的过程。
数据分类:数据泄露时的风险级别和对组织的潜在影响
作为此过程的一部分,您需要考虑数据类型或属性是高风险、中风险还是低风险。但是,要完成此过程,您需要确保您还决定如何管理对数据的访问。您可能需要考虑分配分类级别,例如:
受限:未经授权的披露、更改或破坏对组织造成严重影响的数据
私有:未经授权的披露、更改或破坏对组织造成中等程度影响的数据
公共:未经授权的披露、更改或销毁对组织造成较低影响的数据
定义责任方和风险级别后,您需要确保将数据映射到使用它的应用程序,包括:
应用程序:查询或使用数据的应用程序列表
数据环境:数据所在的地理位置或区域
数据流:数据在应用程序、数据库和进程之间传输的方式
控制:用于保护范围内数据的安全控制
此过程涉及审查、分析和评估可能使数据面临风险的威胁和漏洞。
需要审查的一些风险包括:
过多的访问权限:拥有超出完成工作职能所需的访问权限的用户
过时的用户权限:保留从组织内的一项工作到另一项工作的访问权限的用户可能不再需要历史访问权限
文件共享:“任何有链接的人”权限
协作工具:在 Slack 或 Microsoft Teams 等聊天工具中共享数据
过时数据:超出保留政策期限的数据
特权访问:具有管理或超级用户权限的用户
服务帐户:运行自动化服务和执行应用程序的非人类特权帐户
使用自动化解决方案可以通过扫描数据存储库来帮助简化此过程。然后,他们扫描数据存储库并分析数据存储、处理和安全流程、实践和控制。
一旦评估了潜在风险,您就需要通过补救弱点来降低风险。一些潜在的补救活动包括:
最小权限原则:通过使用基于角色的访问控制 (RBAC) 和基于属性的访问控制 (ABAC),确保用户仅拥有完成工作职能所需的最少访问权限
多重身份验证 ( MFA ):围绕敏感数据放置额外的身份验证控制,包括用户在应用程序和模块之间移动时的逐步身份验证
全局组访问权限:删除允许组织中的每个人访问文件夹的全局访问组权限并创建活动用户组
以数据为中心的安全策略:通过考虑业务上下文以及跨应用程序和存储位置的传输的策略和控制,重点保护敏感数据类型
数据共享策略:建立并执行策略,定义何时以及如何与外部用户共享数据,包括离线访问
数据访问监控:定义“正常”用户行为并监控“异常”访问,包括下载和非工作时间访问
数据保留策略:审查并执行数据保留策略,包括保留期结束后如何处置数据
从传统的安全方法转向以数据为中心的安全方法可能具有挑战性。例如,保护网络安全的传统方法侧重于允许流量进出网络的防火墙。然而,分散的员工从公共互联网连接到您的数据。这意味着您需要保护传输本身,例如使用虚拟公共网络 (VPN) 或安全访问服务边缘 (SASE) 来保护传输过程中的数据。
联系客服