江苏龙网

  1. 首页 > 资讯 > 资讯 > >

数据保护|数字信任的DNA:智能企业的数据保护和隐私( 三 )


2)第二道防线:风险和合规职能
这些领导从设计和部署公司的总体数据和隐私管理框架(包括治理和问责制)开始 , 对整家企业的风险和合规性活动进行监督和监视 。 有关职责包括监视和测试业务部门遵守政策和法规的情况 , 以及编制风险敞口 , 通告风险和控制问题等 。
3)第三道防线:内部或外部审核功能
此功能指提供独立的测试和验证功能 , 以验证业务范围内的数据和隐私安全的有效性 , 并验证总体安全框架 , 确定持续改进的机会 。
适当的技术可以提供协助 , 通过管理这些不同防御线 , 支持整体管理流程 。
04. 保护企业
数字时代的到来为企业的发展和创新带来了巨大的机遇 , 同时也带来了许多困难的挑战 。 许多企业都在努力跟上与此业务变更相关的数据保护规定 , 并且已经受到越来越多的数据保护和隐私相关法规的约束 。
首先 , 企业需要安全产品——自下而上内置的安全性软件 , 该软件反映有关威胁和漏洞的最新研究 。 以SAP开发人员为例 , 它遵循符合ISO 27034的强制性安全软件开发生命周期方法 , 因此它涵盖了产品安全性的所有方面 , 并从最早的设计阶段就与运营安全性建立了联系 。 我们同时还执行了验证测试(从客户角度出发) , 以检查漏洞并收集有关数据保护和隐私的信息 。
企业还需要具有防御能力的应用程序软件 , 该软件应具有识别和阻止来自应用程序本身的攻击的能力 。 例如 , 可以将运行时应用程序自我保护或RASP技术内置到应用程序中 , 以解决网络边界和端点安全性之外的安全问题 。
保护企业还需要具有传输、存储和处理数据的能力 。 在SAP领域 , 我们将此目标称为“零知识” 。 即使黑客获得了对基础架构和系统的访问权 , 他们也会遇到受限的数据访问障碍 , 诸如加密数据传输、产品和服务的同态加密、匿名化之类的原则 。
此外 , 随着更多合作伙伴和供应商通过SAP进入供应链系统 , 企业还需要一个安全防护的生态系统 。 这意味着数据的安全性与合作伙伴和供应商应保持一致 , 交换安全性期望 , 加强策略合规性 , 并进行整体安全性保护 。 此外 , 企业还需要维护由第三方(尤其是云服务提供商)提供的服务的最新清单 , 定期检查免费和开源安全软件的使用权 。 此外 , 企业可能需要针对所有通信和数据共享、培训、威胁模拟和合同修订进行更严格的控制 。
对于任何企业而言 , 最重要的是通过保护个人数据与客户、合作伙伴和员工建立信任 。 如上所述 , 企业不仅需要识别个人身份等重要数据 , 而且需要按照全球范围的法律法规制定相应的管理流程 。 因此 , 企业需要可以支持、记录和实现合规性的系统和流程 。
为了确保移动工作人员使用的设备和端点的数量不断增加 , 企业还需要一个可自主感知的数据护盾 , 它可以支持应用程序虚拟化 , 微虚拟化 , 零日安全保护或全面的终端保护 。 下一代云防火墙和基于域名服务的软件可以作为网络保护补充 。
企业也需要创建一种包含所有员工、承包商、来宾、客户和合作伙伴安全至上的企业文化 。 这涉及对所有员工进行培训 , 以提高安全意识 - 无论是精心设计的网络钓鱼电子邮件还是以社交为目的的电话交谈 , 企业员工都有能力识别解决 。
最后 , 企业需要一种方法来管理不断影响数据安全性和隐私性的变化 。 业务和技术以及有关数据的法规在不断变化 , 因此需要在设计、部署、测试和维护的流程中来保护隐私 。 例如 , 从一开始就将数据保护措施纳入解决方案中 , 在可能存在安全风险的情况下发出警报 , 并在应用程序生命周期中对数据安全进行重新评估 。
05. 采取可持续的防御方法
鉴于持续变化的因素会影响数据安全性和隐私性 , 因此数据安全性方法必须是敏捷且可持久使用 。 换句话说 , 企业能够应对变化并始终如一地执行 。 这需要持续的对人员、流程和技术进行调整 。

每个新的控制措施和流程都需要有相关人员进行监督 。 除非员工接受过有关新的安全意识培训 , 了解如何应对这些风险 , 并对安全漏洞进行负责 , 否则 , 这将无意间成为企业防火墙中的薄弱环节 。 因此 , 适当的培训和程序来管理数据安全 , 对于维持企业的合规性是至关重要的 。
流程
每个流程都必须内置规划信任 。 在这个复杂而不断变化的格局中 , 信任是企业的竞争优势 。 要嵌入可持续的数据安全模型 , 企业必须在整个风险管理过程中灌输风险思维和文化 , 并将安全性嵌入新产品和服务的设计与运营中 。 这种方法可以有助在保持信任的同时加快进入市场的速度 。
技术
技术是保护人员和流程安全的基础 。 企业必须从风险角度检视IT基础架构中的变化 , 以确定潜在风险是否会在企业数据安全框架中造成新的缺口 。 此外 , 随着数据安全自动化管理的需求不断增加 , 企业将需要打造协助可持续运营的新技术 。 考虑到数据保护的复杂性 , 需要一种结构化策略来控制受保护数据的输入、输出以及于整家企业的传输 。 然后 , 必须将数据保护策略转换为全面数据安全框架 , 以反映对IT环境 , 数据资产和数据处理应用程序的深刻理解 。 为了实现可持续的安全合规管理 , 应该考虑在企业范围内使用自动化的安全合规操作工具 。


推荐阅读


上一篇:人造肉|数读|人造肉口感难与真肉相比 人造肉界“特斯拉”如何盈利?

下一篇:技术|大版权时代传统技术受挑战 区块链+数字水印技术价值凸显