Šifravimo tiesiog nepakanka: 3 kritinės tiesos apie duomenų saugumą

Dėl negyvų perimetrų, nuolatinių priešininkų, debesies, mobilumo ir atsineškite savo įrenginį (BYOD), būtina į duomenų apsaugą orientuota sauga. Į duomenis orientuoto saugumo principas yra paprastas: pakenkus tinklui, pametus ar pavogus mobilųjį įrenginį, duomenys yra apsaugoti. Organizacijos, priimančios šį paradigmos pokytį, suprato, kad duomenų saugumui reikia pridėti kontrolę ir matomumą, žvelgiant ne tik į tradicinius sprendimus. Įsigilinę į išplėstinį į duomenis orientuoto saugumo požiūrį, visų lygių organizacijos suteikia galimybę apsaugoti neskelbtinus duomenis, praktiškai susiejant tuos duomenis, nepriklausomai nuo to, kur jie gyvena.

Į duomenis orientuoti saugumo sprendimai tradiciškai buvo nukreipti į vidų ir buvo nukreipti į duomenų, esančių organizacijos srityje, apsaugą juos kaupiant ir saugojant. Tačiau duomenys tolsta nuo organizacijos centro, o ne link jo, o tokios mega tendencijos kaip debesis ir mobilumas tik pagreitina procesą. Efektyvus į duomenis orientuotas saugumas apsaugo duomenis, nes jie nutolsta nuo organizacijos centro, kad būtų dalijamasi ir sunaudojami. Tai apima ad-hoc ryšius už domeno ribų, įgalinančius saugią sąveiką su klientais ir partneriais. (Perskaitykite keletą informacijos apie IT saugumą. Išbandykite 7 pagrindinius IT saugumo principus.)

3 kritinės ties duomenimis pagrįsto saugumo principai

Kintantis į duomenis orientuoto saugumo požiūris grindžiamas trimis kritinėmis tiesomis, nurodančiomis, kaip reikia įgyvendinti saugumą, kad jis būtų veiksmingas:

• Duomenys pateks į vietas, kurių nepažįstate, negalite valdyti ir vis labiau jais negalite pasitikėti. Tai atsitinka per įprastą duomenų tvarkymo procesą, dėl vartotojo klaidų ar nusiraminimo ar dėl kenksmingos veiklos. Kadangi vietos, kuriose yra jūsų duomenys, gali būti nepatikimos, negalite pasikliauti tinklo, įrenginio ar programos sauga, kad apsaugotumėte tuos duomenis.
• Vien šifravimo nepakanka duomenims apsaugoti.

  Šifravimas turi būti derinamas su nuolatiniais, pritaikomais prieigos valdikliais, leidžiančiais iniciatoriui apibrėžti rakto suteikimo sąlygas ir pakeisti tuos valdiklius, atsižvelgiant į aplinkybes.

• Turėtų būti užtikrinta išsami ir išsami informacija, kas, kada ir kiek kartų naudojasi saugomais duomenimis.

  Šis išsamus matomumas užtikrina norminių reikalavimų girdimumą ir suteikia galimybę analizuoti, kad būtų galima geriau suprasti naudojimo būdus ir galimas problemas, o tai savo ruožtu pagerina kontrolę.

Duomenys: o, vietos, kur jis vyks

Pradedant nuo pirmosios tiesos, mes galime padaryti išvadą apie svarbų, pragmatišką veiklos standartą: Kad į duomenis orientuotas saugumas būtų efektyvus, duomenys turi būti apsaugoti jų atsiradimo vietoje. Jei duomenys yra užšifruoti kaip pirmasis proceso žingsnis, jie yra saugūs, nesvarbu, kur jie eina, kokiu tinklu keliauja ir kur galiausiai gyvena. Priešingu atveju reikia pasitikėti kiekvienu kompiuteriu, kiekvienu tinklo ryšiu ir kiekvienu asmeniu tol, kol informacija arba jos kopijos egzistuoja, nuo tada, kai informacija yra autoriaus prižiūrima.

Duomenų apsauga kilmės vietoje daro didelę prielaidą: jūsų į duomenis orientuotas saugos sprendimas turi būti pajėgus apsaugoti duomenis visur, kur jie bus. Kaip mums sako pirmoji tiesa, duomenys ir daugybė jų natūraliai sukurtų kopijų pateks į daugybę vietų, įskaitant mobiliuosius įrenginius, asmeninius įrenginius ir debesį. Veiksmingas sprendimas turi apsaugoti duomenis, nepriklausomus nuo įrenginio, programos ar tinklo. Jis privalo apsaugoti šiuos duomenis, neatsižvelgiant į jų formatą ar vietą ir neatsižvelgdamas į tai, ar jie ramybėje, juda ar yra naudojami. Jis turi lengvai išsikišti perimetro ribą ir sugebėti apsaugoti ad-hoc dialogus.

Čia naudinga sustoti ir apsvarstyti daugelį rinkoje esančių duomenų, orientuotų į taškus ir funkcijas, saugumo sprendimų. Dėl savo prigimties šie sprendimai sukuria apsaugos silosą, nes - kaip diktuoja pirmoji kritinė tiesa - duomenys bus kur nors už jų veikimo ribų. Kadangi šiems sprendimams trūksta visur reikalingos apsaugos, agentūros ir įmonės yra priverstos pastatyti daug siloso. Nepaisant geriausių šių kelių siloso pastangų, rezultatai yra nuspėjami: duomenys vis tiek pateks į tarpą. Šios spragos yra būtent tos, kur laukiama išorės priešininkų ir piktavalių viešai neatskleistų pažeidžiamumų ir pavogti duomenys. Be to, kiekvienas silosas atspindi realias susijusio sprendimo įsigijimo, įdiegimo ir palaikymo sąnaudas bei kelių sprendimų valdymo naštą. (Daugiau maisto pagalvojimui: duomenų saugos spraga, kurią daugelis įmonių pamiršta.)

Duomenų šifravimas tiesiog nėra pakankamas

Antroji tiesa teigia, kad vien šifravimo nepakanka - jis turi būti derinamas su granuliuotu ir nuolatiniu valdymu. Dalijimasis turiniu iš tikrųjų perduoda jo kontrolę, iš esmės duomenų gavėju tapdamas bendrasavininku. Valdikliai leidžia iniciatoriui nustatyti sąlygas, kuriomis gavėjui suteikiamas raktas norint pasiekti failą, ir suteikia galimybę parodyti, ką gavėjas gali padaryti pasiekęs duomenis. Tai apima galimybę teikti tik žiūrėjimo funkciją, kai gavėjas negali išsaugoti failo, kopijuoti / įklijuoti turinio ar spausdinti failo.

Sąvoka „nuolatinis“ yra kritinė prieigos kontrolės, būtinos siekiant užtikrinti veiksmingą į duomenis orientuoto saugumo, savybė. Duomenys iš esmės yra pririšti prie duomenų teikėjo, kuris gali bet kada reaguoti į kintančius reikalavimus ar grėsmes, atšaukdamas prieigą arba pakeisdamas prieigos sąlygas. Šie pakeitimai turi būti nedelsiant taikomi visoms duomenų kopijoms, kad ir kur jie būtų. Atminkite, kad pirmoji tiesa teigia, kad duomenys gali būti vietose, kurių duomenų autorius nežino arba kurių negali kontroliuoti. Todėl negalima manyti, kad nėra išankstinių žinių apie duomenų buvimo vietą ir fizinę prieigą prie susijusių prietaisų. Nuolatinė kontrolė suteikia papildomą pranašumą, kai siekiama panaikinti duomenis apie pamestus ar pavogtus įrenginius, kurie, tikėtina, daugiau niekada nesilies su tinklu.

Prisitaikomumas yra kritinė savybė, tuo pačiu išskirianti konkuruojančius sprendimus ir palaikanti vieningo, visur esančio požiūrio pagrindimą. Ne visi į duomenis orientuoti saugumo sprendimai yra sukurti vienodi, nes kai kurie naudoja šifravimo metodus, išrastus dar prieš mobilumą, debesį ir platų interneto pritaikymą. Taikant šiuos metodus prieigos valdikliai nustatomi tuo metu, kai duomenys yra užšifruojami, tačiau jiems trūksta privalumų, kuriuos teikia nuolatinis valdymas.

Kas, kada ir kiek kartų naudojasi duomenimis?

Trečioji veiksmingo į duomenis orientuoto saugumo tiesa yra absoliutus visapusiško matomumo ir girdimumo poreikis. Tai apima visos prieigos prie kiekvieno duomenų objekto, įgalioto ir nesankcionuoto, matomumą. Tai taip pat apima bet kokio tipo duomenų matomumą perimetro ribose ir išorėje. Išsamūs audito duomenys ir nepaneigimas leidžia organizacijai žinoti, kas, kada ir kaip dažnai naudoja duomenis. Matomumas suteikia galimybę kontroliuoti, suteikdamas organizacijoms informacijos, kad greitai ir gerai informuotai reaguotų į negailestingus bandymus išfiltruoti informaciją. Šis matomumas turėtų apimti platesnę organizacijos saugumo ekosistemą, teikiančią duomenis saugumo informacijai ir įvykių valdymo (SIEM) įrankiams bei operacinei analizei. Savo ruožtu koreliacija ir analizė gali suteikti įžvalgos, tokios kaip galimų kenkėjiškų asmenų identifikavimas.

Būsite pažeisti. Gali būti ir bus sugadintas kiekvienas IT saugumo lygmuo. Organizacijos nebegali pasikliauti perimetro apsauga, kad apsaugotų neskelbtinus duomenis ir intelektinę nuosavybę. Jie turi ieškoti alternatyvių būdų apsaugoti slaptą informaciją. Vargina ne tik perimetro gynyba, nes prieš mobilumą, BYOD, debesį ir žiniatinklyje veikiančias papildomas domenų sąveikas buvo sukurta daugybė į duomenis orientuotų saugumo sprendimų. Organizacijos turi kreiptis į į duomenis orientuotus saugumo sprendimus, kuriuose atsižvelgiama į išsivysčiusį požiūrį, visapusiškai atkreipiant dėmesį į kietąsias duomenų apsaugos ties šiuolaikines greitai kintančias ir labai sudėtingas kompiuterines aplinkybes.