[ad_1]
Bảo mật dữ liệu là một chủ đề phức tạp và thường khó nắm bắt – trừ khi bạn là một chuyên gia CNTT thường xuyên xử lý các vấn đề về an ninh mạng và dữ liệu.
Nếu điều đó không mô tả về bạn (và có lẽ là không), thì nó vẫn quan trọng để hiểu bảo mật dữ liệu để bạn có thể đảm bảo dữ liệu nhạy cảm của mình được bảo vệ đúng cách. Xét cho cùng, dữ liệu là không thể thiếu đối với thành công kinh doanh, vì vậy bảo mật dữ liệu phải là ưu tiên hàng đầu.
Nhưng chính xác thì bảo mật dữ liệu là gì? Tóm lại, đó là bộ sưu tập các biện pháp, chính sách, quy trình và chiến lược bảo mật kỹ thuật số cần thiết để ngăn chặn truy cập và sử dụng trái phép các thiết bị và phương tiện có chứa hoặc truyền dữ liệu.
Có rất nhiều thứ để bảo mật dữ liệu hơn là một bản tóm tắt đơn giản có thể truyền đạt. Hướng dẫn gồm năm chương này sẽ giúp bạn hiểu các khái niệm và các bước có thể hành động liên quan đến bảo mật dữ liệu. Dưới đây là tóm tắt của những gì hướng dẫn này bao gồm. Hy vọng rằng nhiều thông tin chuyên sâu mà chúng tôi đã đưa ra cùng với sự trợ giúp của các chuyên gia về bảo mật và bảo mật dữ liệu sẽ giúp bạn hiểu rõ hơn về bảo mật dữ liệu và giữ an toàn cho dữ liệu của bạn.
Tóm tắt chương
Hãy nhớ đánh dấu hướng dẫn này để tham khảo sau. Bảo mật dữ liệu là một chủ đề phức tạp và bạn chắc chắn sẽ cần một lời nhắc nhở về các điều khoản và các bước tiếp theo để thực hiện hành trình bảo mật của mình.
Tại sao bảo mật dữ liệu lại quan trọng?
Nếu bạn quan tâm đến uy tín của công ty, bảo mật tài sản trí tuệ và phúc lợi tài chính của khách hàng, thì bạn có thể hiểu được tầm quan trọng của bảo mật dữ liệu. Nếu không bảo vệ dữ liệu của bạn đúng cách – cho dù trong các trung tâm dữ liệu lớn hoặc trên thiết bị di động – điều không thể tưởng tượng được có thể xảy ra: Bí mật thương mại của bạn bị rò rỉ cho đối thủ, khách hàng của bạn bị đánh cắp và mọi người mất niềm tin vào doanh nghiệp của bạn.
trong thời đại kỹ thuật số này, dữ liệu giống như vàng đối với các doanh nghiệp – nó cực kỳ có giá trị. Vẫn còn thành công và cạnh tranh đòi hỏi phải đảm bảo dữ liệu đó và vượt qua các thách thức liên quan đến trách nhiệm đó, ông Jamal Ahmed, chuyên gia tư vấn về quyền riêng tư và GDPR tại Kazient Privacy Experts.
Vi phạm dữ liệu
Evan Francen, đồng sáng lập và CEO của FRSecure, nhắc lại tầm quan trọng của bảo mật dữ liệu khi nói về vi phạm dữ liệu. Có một người luôn luôn đau khổ khi các công ty không bảo vệ được tính bảo mật, tính toàn vẹn và / hoặc tính khả dụng của dữ liệu. Bảo mật dữ liệu trên mạng không phải là về dữ liệu hoặc bảo mật cũng như về con người. Nếu không ai bị vi phạm, sẽ không có ai quan tâm. Rằng
Vi phạm dữ liệu là gì? Ở đây, cách thức Francen phá vỡ thuật ngữ:
Vi phạm dữ liệu là một xác nhận, tiết lộ trái phép hoặc thay đổi dữ liệu. Hậu quả tiềm tàng là gần như vô tận, tùy thuộc vào dữ liệu và / hoặc hoàn cảnh: trộm danh tính, gian lận tài chính, trộm cắp tài sản trí tuệ và giữ dữ liệu để đòi tiền chuộc, trong số những người khác. Theo một số ước tính, tội phạm mạng toàn cầu gây thiệt hại cho các nền kinh tế thế giới hơn 1 nghìn tỷ đô la hàng năm.
Các mối đe dọa bảo mật dữ liệu
Các mối đe dọa đối với bảo mật dữ liệu xuất hiện dưới nhiều hình thức, đặc biệt là khi các tác nhân xấu tiếp tục tìm ra những cách thức mới để xâm nhập vào các mạng và kho lưu trữ dữ liệu dường như an toàn. Và với sự phụ thuộc ngày càng tăng vào công nghệ đám mây, điều quan trọng là đảm bảo các hệ thống sẽ hoạt động tốt.
Ví dụ, có rất nhiều cách dữ liệu có thể được chuyển từ tài khoản này sang tài khoản khác trên đám mây. Kevin Hyde, chủ tịch và đồng sáng lập của Lớp 8 Bảo mật, cho biết nếu cơ sở hạ tầng và kết nối kỹ thuật số không được bảo mật và cấu hình đúng cách, mạng của bạn có thể có lỗ hổng bảo mật. Bạn có thể không tuân thủ luật pháp và tiêu chuẩn như HIPAA và GDPR. Để đảm bảo bạn bảo vệ các căn cứ của mình và có các biện pháp kiểm soát phù hợp, bạn nên sử dụng một trung tâm dữ liệu được chứng nhận, theo ông Hyd Hyde.
Các diễn viên xấu liên tục tìm kiếm những điểm yếu sẽ cho phép họ xâm nhập vào một mạng lưới tổ chức. Dưới đây là một số cách phổ biến nhất mà họ khai thác những điểm yếu đó; nhận thức được chúng sẽ giúp thông báo các nỗ lực bảo mật dữ liệu của bạn.
7 mối đe dọa an ninh mạng
Các loại vi-rút máy tính khác nhau, nhưng chúng đều có một điểm chung: Chúng là mối đe dọa đối với an ninh mạng và gây bất lợi cho tổ chức của bạn Bảo mật dữ liệu. Một số virus hoặc phần mềm độc hại (phần mềm độc hại) mở ra cơ hội cho các đoạn mã độc hại, trong khi một số khác tập trung vào tham nhũng và phá hủy.
Phần mềm gián điệp
Phần mềm gián điệp là một loại phần mềm độc hại rộng rãi được cài đặt trên máy tính hoặc thiết bị di động mà không có kiến thức về người dùng cuối (điều này làm cho nó gián điệp ware). Thuật ngữ này có thể đề cập đến nhiều loại virus khác nhau. Một số ví dụ về phần mềm gián điệp là Trojan, phần mềm quảng cáo và logger gõ phím.
Ngựa thành Troia
Virus ngựa Trojan là gì? Giống như câu chuyện Hy Lạp mà nó đặt tên theo sau, một con ngựa thành là một chương trình máy tính có vẻ vô hại nhưng thực sự có ý định bất chính.
Trojan Trojans thường che dấu lối vào mạng của họ bằng cách đặt các tệp thực thi đơn giản – nghĩ PDF, bảng tính Excel, tài liệu Word và thậm chí các trình cắm trình duyệt internet, chanh giải thích Hyde. Các nhân viên không ngờ tới sau đó tải xuống và mở các tệp này, cung cấp một phần mở cho phần mềm độc hại ẩn bên trong Trojans để phá hoại máy tính của người dùng và mạng mà nó kết nối với.
Phần mềm quảng cáo
Phần mềm quảng cáo đề cập đến phần mềm hiển thị quảng cáo thông qua cửa sổ bật lên hoặc thanh bên trong khi chương trình hoặc ứng dụng đang chạy.
Không giống như phần mềm gián điệp, phần mềm quảng cáo không nhất thiết là độc hại. Trong một số trường hợp, phần mềm quảng cáo được sử dụng để giúp phục hồi chi phí phát triển, chẳng hạn như chi tiêu cho việc phát triển một trò chơi miễn phí.
Ví dụ về phần mềm quảng cáo bao gồm quảng cáo trong ứng dụng được hiển thị trên trò chơi di động và quảng cáo biểu ngữ được hiển thị trên các trang truyền thông xã hội. Phần mềm quảng cáo theo dõi người dùng thông tin cá nhân hoặc thói quen duyệt web mà không có sự đồng ý của người dùng có thể được phân loại là phần mềm gián điệp.
Giun máy tính
Sâu máy tính là gì? Phần mềm độc hại của nó có khả năng tự sao chép trong máy tính, các tệp hệ thống ẩn, tự động, điển hình với mục đích mở một cửa hậu để điều khiển máy tính từ xa.
Việc phát hiện sâu rất khó khăn và hầu hết người dùng không nghi ngờ máy tính của họ đã bị nhiễm trừ khi việc sao chép tiêu tốn quá nhiều tài nguyên hệ thống và tác động tiêu cực đến chức năng. Giun nhân đôi để lây lan sang các máy tính khác trong khi vẫn còn trên máy bị nhiễm ban đầu.
Rootkit
Rootkit là một chương trình hoặc tập hợp các công cụ phần mềm cho phép các tác nhân xấu truy cập hoặc điều khiển từ xa một hệ thống máy tính. Không phải tất cả các rootkit là độc hại trong tự nhiên. Ví dụ: rootkit được sử dụng để cung cấp hỗ trợ người dùng cuối từ xa (nghĩ về Bàn trợ giúp). Tuy nhiên, rootkit rất nguy hiểm vì chúng cung cấp một cửa hậu cho các tác nhân xấu cung cấp phần mềm độc hại cho hệ thống và thậm chí có thể ngăn chặn phát hiện phần mềm độc hại bằng phần mềm chống vi-rút.
DDoS
DDoS là gì? DDoS là viết tắt của từ chối dịch vụ phân tán . Trong một cuộc tấn công DDoS, nhiều hệ thống bị xâm nhập tấn công tài nguyên mạng, chẳng hạn như trang web hoặc máy chủ và khiến người dùng hợp pháp truy cập tài nguyên đó vô cùng khó khăn hoặc không thể.
Các tác nhân xấu thường khai thác lỗ hổng trong một máy tính, kiểm soát nó và sau đó làm tương tự với các máy tính nối mạng khác. Các diễn viên xấu sau đó sử dụng bộ sưu tập các máy tính bị tấn công trong một cuộc tấn công DDoS. Ví dụ: một công ty thương mại điện tử có thể sử dụng một cuộc tấn công DDoS để đánh sập một trang web của đối thủ cạnh tranh.
Lừa đảo
Lừa đảo là gì? Nói tóm lại, lừa đảo là lừa đảo kỹ thuật số. Khi một diễn viên xấu thực hiện một cuộc tấn công lừa đảo, họ đặt ra như một cá nhân hoặc doanh nghiệp có uy tín trong một email hoặc phương tiện liên lạc khác và phân phối các liên kết hoặc tệp đính kèm độc hại.
Lừa đảo dễ dàng hơn nhiều so với hack. Một cách dễ dàng và nhanh chóng hơn nhiều để lừa mọi người thông qua kỹ thuật xã hội hơn là đột nhập vào một hệ thống, theo lời giải thích của Hyde.
Bảo vệ chống lại các mối đe dọa đối với bảo mật dữ liệu
Hyde lưu ý rằng các tổ chức có thể thực hiện các bước để tự bảo vệ mình trước các mối đe dọa an ninh mạng nói trên. Bạn có thể bắt đầu bằng cách hiểu ở đó, không có viên đạn ma thuật nào có thể giữ an toàn cho tổ chức của bạn. Bạn cần thực hiện một cách tiếp cận phòng thủ nhiều lớp vì bạn không bao giờ có thể chắc chắn 100 phần trăm nơi phòng thủ của bạn sẽ thất bại. Đó có thể là cài đặt trên đám mây của bạn, một trong những nhân viên của bạn hoặc một cái gì đó mà bạn đã từng xem xét. [[9009003]
Dưới đây là một số khuyến nghị của Hyde về bảo mật dữ liệu:
- Sử dụng bộ lọc thư rác. Vì rất nhiều phần mềm độc hại xâm nhập vào tổ chức thông qua email và tệp đính kèm, bộ lọc thư rác có thể giảm thiểu rủi ro này bằng cách dừng hoàn toàn các email – hoặc ít nhất là loại bỏ bất kỳ tệp đính kèm nào được coi là không an toàn.
- tường lửa. Tường lửa tạo thành một rào cản kỹ thuật số giữa mạng của bạn và miền tây hoang dã đó là internet. Đặt quy tắc bảo mật để giúp kiểm soát lưu lượng truy cập vào và ra.
- Thực hiện hệ thống SIEM. Hệ thống quản lý sự kiện và thông tin bảo mật (SIEM) tổng hợp dữ liệu từ nhiều nguồn để xác định và thực hiện hành động đối với các sai lệch so với hành vi hệ thống thông thường. Loại hệ thống này thường tích hợp với các công cụ bảo mật doanh nghiệp khác để cải thiện bảo mật dữ liệu một cách gắn kết hơn.
Mặc dù các mối đe dọa bảo mật mạng này có thể khiến bạn lo ngại về bảo mật dữ liệu của mình, chương tiếp theo sẽ cung cấp cho bạn những lời khuyên tuyệt vời về việc tạo môi trường làm việc an toàn hơn để bảo vệ chống lại không chỉ vi-rút.
Thực hành tốt nhất về bảo mật dữ liệu
Bảo vệ tổ chức của bạn Dữ liệu của bạn có thể giống như leo lên một ngọn núi, đặc biệt là nếu bạn không chắc chắn phải làm gì hoặc nên làm theo lời khuyên nào. Để làm cho việc leo trèo của bạn trở nên dễ dàng hơn, chúng tôi đã tập hợp một số thực tiễn tốt nhất về bảo mật dữ liệu cho các lĩnh vực quan tâm cụ thể dưới đây. (Để có danh sách tổng quát hơn về các thực tiễn tốt nhất về bảo mật dữ liệu, hãy xem bài đăng này.)
Chính sách bảo mật dữ liệu: 4 cách thực hành tốt nhất để tuân theo
Lực lượng lao động
Cảnh yếu tố bảo mật dữ liệu của con người luôn dễ bị tổn thương nhất, ông Ahmed nói. Ngay cả khi có các chính sách và quy trình bảo mật tốt nhất, mọi người thường có thể phá vỡ các kế hoạch của bạn – dù là cố ý hay vô tình.
Ví dụ, một nhân viên có thể quên xóa thông tin cá nhân trước khi gửi cho bên thứ ba, để nhầm máy tính xách tay, hoặc bỏ qua việc mã hóa các thiết bị như USB hoặc điện thoại di động. Tất cả những hành động này thể hiện những điểm yếu trong bảo mật dữ liệu, đó là lý do tại sao đào tạo bảo mật dữ liệu rất quan trọng.
Đào tạo lực lượng lao động của bạn về các giao thức bảo mật dữ liệu phù hợp là cần thiết để bảo vệ dữ liệu của bạn. Ahmed nói rằng bạn có thể thực hiện đào tạo theo mô-đun thông qua các phương tiện kỹ thuật số, mang đến một huấn luyện viên tại chỗ, gửi các bản tin hàng tháng, thực hiện mô phỏng hoặc thực hiện một số kết hợp các phương pháp này.
hung Điều quan trọng là bạn cung cấp đào tạo trong một số hình thức liên tục. Đào tạo bảo mật dữ liệu nên là một nỗ lực không ngừng, ông Ahmed Ahmed nói.
Đào tạo đặc biệt quan trọng trong ngành chăm sóc sức khỏe. Các cơ sở y tế như phòng khám và bệnh viện thu thập thông tin bệnh nhân nhạy cảm và lịch sử y tế. Nếu các tác nhân xấu đánh cắp thông tin này, bệnh nhân có thể phải đối mặt với tác hại tài chính như các vấn đề tín dụng dài hạn và các biến chứng bảo hiểm do dữ liệu y tế của họ bị sử dụng một cách gian lận. Để giúp bảo vệ chống lại rủi ro này, hãy làm theo các bước sau.
Francen nhấn mạnh tầm quan trọng của việc thấm nhuần văn hóa bảo mật dữ liệu tại nơi làm việc và giúp nhân viên tiếp thu nó. Ông nói rằng con người tự nhiên là sinh vật của thói quen, và không có gì thúc đẩy họ hơn vấn đề cá nhân của họ. Với suy nghĩ này, các công ty nên tập trung vào việc giúp nhân viên phát triển các thói quen bảo mật tốt tại nhà, nơi an ninh có tác động trực tiếp hơn.
Nếu mọi người học được những thói quen bảo mật tốt ở nhà – nơi họ đang bảo vệ bản thân và gia đình – những thói quen tương tự sẽ chuyển thành thói quen bảo mật tốt hơn tại nơi làm việc, theo ông Cameron Francen.
Quản lý danh tính và truy cập
Quản lý danh tính và truy cập (IAM) là một khung dựa trên vai trò quản lý danh tính kỹ thuật số. Mục đích của IAM là kiểm soát quyền truy cập của người dùng vào thông tin quan trọng hoặc nhạy cảm.
Theo Ahmed, IAM là một công cụ giảm thiểu rủi ro quan trọng: Hạn chế quyền truy cập bằng nhận dạng người dùng sẽ hạn chế khả năng người dùng có thể chạm vào thứ gì đó mà họ không thể nhìn thấy ngay từ đầu. Ngoài ra, nếu vi phạm sẽ xảy ra, IAM có thể giúp bạn nhanh chóng xác định được ai có liên quan đến nhật ký truy cập của người dùng, theo Ahmed Ahmed.
Ông nói thêm rằng IAM hiệu quả đòi hỏi phải đánh giá từng người dùng và vai trò công việc của họ, sau đó tạo một hồ sơ truy cập phù hợp: Mỗi người dùng cần truy cập gì để thực hiện nhiệm vụ của mình?
Francen lưu ý rằng các công ty thường thất bại trong việc quản lý IAM vì họ cố gắng giải quyết nhiều lĩnh vực – nhận dạng, xác thực, ủy quyền và kế toán – tất cả cùng một lúc. Quản lý danh tính của Master Master đầu tiên trước khi cố gắng làm chủ các lĩnh vực khác. [[9009003]
Giám sát an ninh mạng
Với giám sát an ninh mạng (NSM), một hệ thống – hoặc nhà cung cấp dịch vụ và hệ thống lai – liên tục giám sát mạng của bạn để biết các mối đe dọa bảo mật, lỗ hổng bảo mật và hành vi bất thường. NSM có thể đơn giản hoặc phức tạp và bao gồm một loạt các lĩnh vực, từ kiểm soát truy cập và chống vi-rút đến phân tích hành vi và ngăn chặn xâm nhập.
Francen nói rằng lưu lượng truy cập mạng bình thường nhìn theo một chiều, trong khi lưu lượng truy cập đe dọa có vẻ bất thường ở một khía cạnh nào đó. Xác định các mối đe dọa và / hoặc rò rỉ dữ liệu sớm có thể giảm thiểu thiệt hại tài chính và uy tín cho công ty. Tuy nhiên, từ khóa ở đây là sớm, Lau Francen nói. Những mối đe dọa của hoàng tử don luôn luôn thể hiện ở thời điểm thỏa hiệp. Thông thường, có một mối đe dọa gợi ý cho một chuyên gia bảo mật đối với một sự thỏa hiệp sắp xảy ra.
Sao lưu dữ liệu
Ahmed nhớ lại câu ngạn ngữ cũ, Don Don Đặt tất cả trứng của bạn vào một giỏ.
Dữ liệu là một mặt hàng có giá trị, vì vậy thực hiện sao lưu dữ liệu thường xuyên và nhất quán sẽ giảm thiểu mất dữ liệu và thời gian ngừng hoạt động, theo Ahmed Ahmed. Bạn có thể khôi phục dữ liệu bị mất của mình và sao lưu và chạy nhanh hơn rất nhiều. [[9009003]
Francen cung cấp các bước bạn có thể thực hiện để xác định con đường tốt nhất của mình với các bản sao lưu dữ liệu:
- Nhận phê duyệt quản lý trước khi bắt đầu.
- Xác định chủ sở hữu hệ thống và dữ liệu.
- Thực hiện phân tích tác động kinh doanh.
- Sử dụng mục tiêu điểm khôi phục (RPO) và mục tiêu thời gian phục hồi (RTO) để xác định
- Công nghệ bạn cần sử dụng
- Tần suất bạn nên sao lưu dữ liệu
- Bạn sẽ sử dụng loại sao lưu nào (19459016] đầy đủ, gia tăng, khác biệt, v.v.)
- Nơi lưu trữ dữ liệu sao lưu
- Dữ liệu sao lưu sẽ được chuyển vào lưu trữ
- Tài liệu sao lưu chiến lược theo cách mà người ngoài sẽ hiểu.
- Đối với mọi quy trình lặp lại, hãy ghi lại một quy trình.
- Xác định lịch kiểm tra và đánh giá.
- Nhận phê duyệt cuối cùng.
Với những thực tiễn tốt nhất này, chúng tôi sẽ chuyển sang các giải pháp bảo mật dữ liệu hữu ích mà bạn có thể sử dụng.
Quy định tuân thủ dữ liệu
HIPAA
Viết tắt của Đạo luật Trách nhiệm và Khả năng Giải quyết Bảo hiểm Y tế, HIPAA đã được cơ quan lập pháp Hoa Kỳ thông qua vào năm 1996. Nó áp dụng cho tất cả các cơ quan chăm sóc sức khỏe, bao gồm bệnh viện, nhà cung cấp dịch vụ chăm sóc sức khỏe, công ty bảo hiểm y tế, v.v. Nó cũng bao gồm các tổ chức bên thứ ba làm kinh doanh với các thực thể chăm sóc sức khỏe này.
HIPAA bao gồm ba quy tắc, theo định nghĩa của Bộ Y tế và Dịch vụ Nhân sinh Hoa Kỳ:
- Quy tắc bảo mật đảm bảo thông tin sức khỏe của cá nhân được bảo vệ đúng cách trong khi được sử dụng để cung cấp và quảng bá chăm sóc sức khỏe chất lượng cao.
- Quy tắc bảo mật ] Bảo vệ thông tin sức khỏe của cá nhân và cho phép các thực thể được bảo hiểm áp dụng các công nghệ mới để cải thiện chất lượng và hiệu quả chăm sóc bệnh nhân.
- Quy tắc thông báo vi phạm buộc các thực thể được bảo hiểm của HIPAA phải thông báo cho các cá nhân bị ảnh hưởng chính phủ, và, trong một số trường hợp nhất định, các phương tiện truyền thông, sau khi vi phạm thông tin sức khỏe không được bảo đảm, được bảo vệ.
Francen lưu ý rằng, trong khi nó có những bước tiến lớn, HIPAA đã không ảnh hưởng đến bảo mật dữ liệu như nhiều người hy vọng. Các đơn vị chăm sóc sức khỏe có sự tuân thủ nghiêm túc, nhưng việc thực thi trong toàn ngành đã được chú ý ở mức tốt nhất. [[9009003]
GDPR
Liên minh châu Âu (EU) đã thông qua Quy định bảo vệ dữ liệu chung (GDPR) vào tháng 4 năm 2016 và nó có hiệu lực vào tháng 5 năm 2018. Ahmed nói rằng GDPR là luật bao quát nhất trên toàn cầu vì nó áp dụng cho công dân EU và bất kỳ công ty nào xử lý dữ liệu liên quan đến công dân EU. EU đã khởi xướng nhiều hành động thực thi, điều này cho thấy ngành công nghiệp rằng EU đang thực hiện nghiêm túc.
Các tổ chức trên toàn cầu cũng nghiêm túc tuân thủ GDPR, chi hàng triệu đô la để đạt được và duy trì sự tuân thủ. Đây là điều đáng ngạc nhiên khi đưa ra mức phạt không tuân thủ lớn như thế nào: bất cứ nơi nào từ 2% doanh thu hàng năm trên toàn thế giới của năm tài chính trước ở mức thấp hơn đến 4% ở cấp trên, tùy thuộc vào các hành vi vi phạm. Điều này có thể lên tới hàng chục triệu Euro. GDPR có thể là luật bảo mật dữ liệu có ảnh hưởng nhất trong lịch sử, theo ông Francen.
Khung bảo vệ quyền riêng tư
Khung bảo vệ quyền riêng tư (PSF) là một cơ chế bảo vệ an toàn được duy trì bởi Bộ Thương mại Hoa Kỳ. Mục đích của nó là để tạo thuận lợi cho thương mại và chuyển dữ liệu giữa Hoa Kỳ và các nước châu Âu theo cách mà Phù hợp với luật pháp EU.
Các quốc gia châu Âu không được phép chuyển dữ liệu sang Hoa Kỳ hoặc bất kỳ quốc gia nào khác có luật bảo mật dữ liệu ít nghiêm ngặt hơn EU. Khung làm việc là tự nguyện và tạo điều kiện cho việc tuân thủ GDPR, nhưng nó không thay thế cho việc tuân thủ GDPR, theo giải thích của Francen.
Các công ty có thể tự chứng nhận sự tuân thủ của họ với các nguyên tắc nhất định để tham gia PSF. Lưu ý, cả Ahmed và Francen đều chỉ ra rằng PSF thay thế Cảng an toàn và chứng nhận của nó.
Chứng nhận PCI DSS
Tiêu chuẩn bảo mật dữ liệu công nghiệp thẻ thanh toán (PCI DSS) là tập hợp các yêu cầu bảo mật được thiết lập bởi những người chơi chính trong ngành – VISA, Mastercard, Discover, v.v. – để bảo vệ bảo mật dữ liệu thẻ thanh toán. Tiêu chuẩn công nghiệp này ban đầu được phát triển để ngăn chặn hành động lập pháp. Pháp đã cải thiện đáng kể tính bảo mật của dữ liệu thẻ thanh toán, theo ông Francen.
Ông lưu ý rằng có bốn mức độ tuân thủ, dựa trên cách tổ chức thu thập, lưu trữ, tạo và / hoặc truyền dữ liệu thẻ thanh toán và với số lượng bao nhiêu. Nói chung, nhiều dữ liệu hơn – và tương tác nhiều hơn với dữ liệu đó – tương đương với sự xem xét kỹ lưỡng hơn. [[9009003]
Bây giờ bạn đã có ý tưởng về tầm quan trọng của bảo mật dữ liệu, hãy để Lát chuyển sang các mối đe dọa bảo mật dữ liệu hàng đầu mà các tổ chức như của bạn phải đối mặt.
Giải pháp bảo mật dữ liệu
Có vô số công cụ và phương pháp để bảo mật dữ liệu của bạn, từ các fob khóa đơn giản đến các kỹ thuật xáo trộn dữ liệu phức tạp. Mỗi cái đều có vị trí của nó, nhưng cái nào bạn thực hiện sẽ phụ thuộc vào độ nhạy cảm của dữ liệu và mức độ nghiêm ngặt bạn muốn thiết lập trong tổ chức của mình.
Dưới đây là một số giải pháp bảo mật dữ liệu quan trọng bạn nên xem xét thêm vào kho vũ khí của mình.
Giải pháp bảo mật dữ liệu để thực hiện
Quản lý khóa mã hóa
Quản lý khóa mã hóa (EKM) là tập hợp các chính sách và quy trình giúp bảo vệ, lưu trữ, sắp xếp và sao lưu các khóa mã hóa – cơ chế truy cập bảo vệ dữ liệu bằng cách xáo trộn và giải mã dữ liệu cho người dùng được ủy quyền.
Quảng cáo của EKM là đảm bảo không ai nhìn thấy thông tin của bạn, ngoại trừ những người được cho là nhìn thấy nó, bằng cách giữ các khóa được sử dụng để giải mã dữ liệu của bạn một cách riêng biệt và an toàn, ông Nikolso nói. Để biết ví dụ về mã hóa trông như thế nào, anh ta nói với mọi người kiểm tra trình duyệt của họ để tìm biểu tượng ổ khóa trong thanh điều hướng. Khóa đó cho thấy có một kết nối được mã hóa giữa máy chủ web và trình duyệt của bạn.
Russo nói rằng EKM rất quan trọng để bảo mật dữ liệu nhạy cảm – thậm chí còn hơn thế đối với các ngành công nghiệp như chăm sóc sức khỏe, nơi các công ty cần tuân thủ các quy định nghiêm ngặt của HIPAA. Ví dụ, nếu máy tính xách tay bị đánh cắp, mã hóa có thể tiết kiệm trong ngày: Nếu được mã hóa đúng cách, máy tính xách tay sẽ được bảo vệ hoàn toàn. Tên trộm có thể bỏ đi và vẫn không thể đọc được. Máy tính xách tay và dữ liệu được lưu trữ trên đó về cơ bản sẽ vô dụng trừ khi kẻ trộm có các khóa riêng được sử dụng để xáo trộn dữ liệu. Sử dụng EKM thích hợp sẽ ngăn chặn kịch bản đó. Rằng
Chúng tôi trả lời một số Câu hỏi thường gặp về EKM trong bài đăng này, bao gồm các thách thức mà các tổ chức phải đối mặt về thực tiễn này và cách các tác nhân xấu có thể phá vỡ các nỗ lực mã hóa của bạn.
Phân loại dữ liệu
Phân loại dữ liệu liên quan đến việc tổ chức dữ liệu thành các danh mục cụ thể để có hiệu lực và hiệu quả cao hơn, giúp tìm kiếm và sử dụng dễ dàng hơn. Kế hoạch phân loại bạn nghĩ ra phải đủ đơn giản để tất cả nhân viên tuân thủ một cách dễ dàng; mặt khác, bạn có nguy cơ nhân viên phân loại sai dữ liệu, điều này làm hạn chế tính hiệu quả của quy trình và làm cho dữ liệu ít (hoặc hơn) an toàn hơn mức cần thiết.
Đề án phân loại khác nhau giữa các công ty. Một số bao gồm năm loại, với các loại cao hơn chứa dữ liệu nhạy cảm hơn. Danh mục đầu tiên có thể là thông tin hàng ngày mà bất cứ ai cũng có thể truy cập, chẳng hạn như bảng giá. Dữ liệu trong danh mục thứ năm có thể được bảo mật cao và có rủi ro tài chính, như số an sinh xã hội của nhân viên hoặc số thẻ tín dụng khách hàng.
Bảo mật dữ liệu đám mây
Bảo mật dữ liệu đám mây liên quan đến các công nghệ và chính sách được thiết kế để bảo vệ thông tin, ứng dụng và cơ sở hạ tầng liên quan đến điện toán đám mây và lưu trữ.
Tim Russo, chủ tịch của Wireguided, nói rằng dữ liệu đám mây không được bảo mật dễ bị tổn thương trước các diễn viên xấu như tin tặc. Ông lưu ý rằng nhiều công ty cho rằng bất kỳ dữ liệu nào trên đám mây đều được bảo mật tự động và không nên thực hiện các bước cần thiết để đảm bảo an ninh.
Một vấn đề có thể xảy ra khi chia sẻ dữ liệu với các bên thứ ba, Lau Russo nói. Một vài trường hợp đã được công khai khi các thực thể này để lại cho các công ty khác Thông tin riêng tư rộng rãi cho mọi người truy cập trên internet – đôi khi trong nhiều năm. Các tổ chức cần sử dụng các biện pháp bảo mật bổ sung khi sử dụng đám mây, chẳng hạn như xác thực đa yếu tố. [[9009003]
Xác thực khách hàng mạnh mẽ
Xác thực hai yếu tố đã chuyển sang xác thực khách hàng mạnh mẽ (SCA) và hiện bao gồm các phương thức xác thực bổ sung. SCA dựa trên việc sử dụng ít nhất hai trong số ba yếu tố xác minh:
- Kiến thức: một cái gì đó chỉ người dùng biết, như mật khẩu hoặc số pin
- Sở hữu: thứ gì đó chỉ người dùng sở hữu, chẳng hạn như ghi nợ hoặc thẻ tín dụng, khóa fob hoặc mã thông báo hoặc văn bản (nếu người dùng có điện thoại di động)
- Sự tồn tại: một thứ gì đó mà người dùng thường sử dụng, thường liên quan đến số nhận dạng sinh trắc học như khuôn mặt hoặc nhận dạng giọng nói, quét vân tay hoặc thậm chí sinh trắc học hành vi như mẫu giọng nói
Nói chung, dữ liệu càng nhạy cảm thì càng khó truy cập. Điều đó có nghĩa là sử dụng một yếu tố xác minh bổ sung hoặc một tùy chọn phức tạp hơn trong một yếu tố xác minh – chẳng hạn như sử dụng các mẫu giọng nói thay vì chỉ đơn giản là một giọng nói.
Mã thông báo
Là một quá trình, mã thông báo thay thế dữ liệu nhạy cảm bằng các ký hiệu duy nhất giữ lại tất cả các thông tin cần thiết về dữ liệu mà không ảnh hưởng đến bảo mật của nó.
Quá trình này giúp bảo mật thông tin trong quá trình và khi nghỉ ngơi và có thể giúp tuân thủ các quy định như PCI DSS, HIPAA và GDPR. Không giống như mã hóa, quá trình này thường được so sánh với, dữ liệu token hóa không bao giờ rời khỏi tổ chức.
Mã thông báo thường được sử dụng với các hệ thống điểm bán để chuyển đổi số thẻ tín dụng thành giá trị được tạo ngẫu nhiên hoặc mã thông báo. Mã thông báo đó chỉ liên quan đến một bối cảnh cụ thể, chẳng hạn như một giao dịch riêng lẻ với một thương gia cụ thể. Nếu tin tặc quản lý để đánh cắp dữ liệu, mã thông báo đảm bảo tác nhân xấu có thể xác định số thẻ thực tế.
Các ví dụ khác về việc sử dụng mã thông báo bao gồm giao dịch ngân hàng, thông tin người điều khiển phương tiện và bất kỳ bối cảnh nào trong đó các giá trị ngẫu nhiên có thể giúp che giấu hoặc che khuất thông tin nhận dạng.
Mặt nạ dữ liệu
Mặt nạ dữ liệu tạo ra dữ liệu hư cấu – nhưng dường như xác thực – có thể được sử dụng cho những việc như kiểm tra phần mềm và đào tạo người dùng. Chiến thuật này bảo vệ dữ liệu thực nhưng cung cấp cho các nhà phát triển và các nhân viên CNTT khác các điểm dữ liệu có ý nghĩa để làm việc khi cần thiết. Lưu ý rằng định dạng của dữ liệu không thay đổi, mặc dù các giá trị làm.
Việc che giấu dữ liệu là hữu ích, nhưng nó không nhất thiết phải là một thực hành bảo mật cao. Ahmed nói rằng dữ liệu đeo mặt nạ thường có thể bị bẻ khóa nếu bạn có thông tin chính xác. Miễn là nó có liên quan đến dữ liệu, một phần thông tin có thể mở khóa tất cả dữ liệu đeo mặt nạ của bạn. Ví dụ, tất cả một diễn viên xấu có thể cần là ngày sinh hoặc mã zip. Khăn
Tiếp theo, chúng tôi đi sâu vào một công cụ cụ thể mà các doanh nghiệp sử dụng để thu thập dữ liệu (và phải được bảo vệ): biểu mẫu.
Hình thức giải pháp bảo mật
Tại một số điểm, hầu hết mọi tổ chức đều cần sử dụng một biểu mẫu. Các hình thức là một thành phần quan trọng của một số hoạt động kinh doanh, bao gồm:
- Đặt hàng sản phẩm của khách hàng
- Thanh toán trực tuyến
- Thu thập dữ liệu cho nghiên cứu thị trường
- Liên hệ với khách hàng
- ] Phản hồi của khách hàng
Danh sách này là vô tận. Nhưng nếu bạn sử dụng các biểu mẫu, bạn cần bảo vệ thông tin bạn thu thập với chúng – phần lớn trong số đó là nhạy cảm. JotForm là một trình xây dựng biểu mẫu an toàn, dễ sử dụng – có nghĩa là bạn sẽ không bao giờ phải lo lắng về việc liệu dữ liệu của bạn có an toàn hay không.
JotForm và bảo mật dữ liệu
JotForm sử dụng Bảo mật Giao thức Truyền Siêu văn bản (HTTPS). (Nhắc lại ví dụ khóa từ Chương 4.) Giao thức này đảm bảo rằng mọi dữ liệu được truyền giữa trình duyệt web của người dùng và trang web đều được bảo mật thông qua SSL – một kỹ thuật mã hóa ngăn các tác nhân xấu đọc hoặc sử dụng dữ liệu, ngay cả khi họ có thể trích xuất nó trong quá trình vận chuyển.
Vì vậy, khi người dùng truy cập vào biểu mẫu của bạn và điền vào các chi tiết được yêu cầu, bạn (và người dùng của bạn!) Có thể yên tâm rằng dữ liệu được bảo mật trong khi truyền giữa trình duyệt của bạn và máy chủ JotForm,
Mã hóa dữ liệu mẫu
Ngoài việc sử dụng HTTPS tiêu chuẩn cung cấp cho bạn các biểu mẫu bảo mật, bạn cũng có thể mã hóa các biểu mẫu của mình. Với các hình thức được mã hóa, dữ liệu nhạy cảm cũng được mã hóa ở phần còn lại – không chỉ trong quá cảnh. JotForm cung cấp nhiều hình thức được mã hóa, hoàn thành với khóa mã hóa chỉ bạn mới có quyền truy cập. Chỉ người giữ chìa khóa có thể đọc dữ liệu được mã hóa. (Một chuyên gia về quyền riêng tư dữ liệu cung cấp một phép ẩn dụ tuyệt vời để hiểu rõ hơn về khái niệm khóa mã hóa trong bài đăng này.)
Lớp bảo mật bổ sung này cho phép JotForm cung cấp các biểu mẫu tuân thủ HIPAA – để các tổ chức chăm sóc sức khỏe có thể thu thập và sắp xếp thông tin y tế, phản hồi của bệnh nhân, ứng dụng của nhân viên và thanh toán tại một nơi.
Bảo mật dữ liệu di động
Bảo mật dữ liệu không dừng lại ở máy tính để bàn. Mọi người đều di động trong những ngày này, và một màn hình nhỏ hơn không nên giới hạn khả năng kinh doanh của bạn bằng các hình thức. Bạn cần các biểu mẫu thân thiện với thiết bị di động và an toàn như các đối tác trên máy tính để bàn của họ.
JotForm đảm nhiệm việc đó với JotForm Mobile Forms, một ứng dụng dành cho iOS và Android. Ngay cả khi bạn tạo biểu mẫu của mình trên trình duyệt web, bạn vẫn có thể xem, hoàn thành và chỉnh sửa nó bằng ứng dụng. Ngoài ra, bạn có thể điền vào các biểu mẫu ngoại tuyến, do đó, bạn không cần phải lo lắng khi không có sẵn Wi-Fi hoặc dữ liệu di động của bạn bị đốm hoặc bị giới hạn. Giống như với các biểu mẫu web, các biểu mẫu di động an toàn đạt tiêu chuẩn và bạn có thể thêm mã hóa để bảo mật hơn.
Quyền riêng tư dữ liệu
Bạn phải đăng nhập vào tài khoản JotForm của bạn để xem dữ liệu gửi của bạn. Nếu ai đó biết URL duy nhất, gần như không thể đoán của một lần gửi, họ chỉ có thể xem nội dung gửi cụ thể đó (không phải tất cả các nội dung gửi của bạn). Điều này cực kỳ khó xảy ra, nhưng bạn có thể thêm một lớp bảo vệ bổ sung vào biểu mẫu của mình bằng cách yêu cầu đăng nhập để xem mỗi lần gửi.
Thông tin thêm về hướng dẫn bảo mật dữ liệu của bạn
Evan Francen
Evan Francen is the cofounder and CEO of FRSecure, an information security consulting company with more than 1,000 clients across the U.S. He’s also the author of Unsecurity: Information security is failing. Breaches are epidemic. How can we fix this broken industry? Prior to starting FRSecure, Francen spent more than 15 years working as an information security professional and corporate leader at private and public companies.
Jamal Ahmed
Jamal Ahmed is the lead privacy and GDPR consultant at Kazient Privacy Experts, a firm that provides EU representative and data protection officer solutions to organizations globally. He is a Certified EU GDPR practitioner, Certified Information Privacy Professional Europe (CIPPE), and Certified Information Privacy Manager (CIPM). Ahmed also has nearly a decade of global experience in data protection and security across financial services, home security, real estate, human resources, and nonprofit sectors.
Kevin Hyde
Kevin Hyde is the president and cofounder of Layer 8 Security, a cybersecurity consulting, advisory, and technical services company that creates risk management solutions for evolving information security and compliance needs.
Tim Russo
Tim Russo is the president of Wireguided, a company that provides managed IT services, cloud solutions, training, and other IT solutions. He has six professional certifications and works with his team at Wireguided to help organizations manage their IT infrastructure.
Source link: webdesignernews