Краткое руководство по обеспечению большей безопасности в ваших приложениях

У каждой организации есть конфиденциальные данные — данные клиентов, данные сотрудников или операционные данные. Конфиденциальные данные могут поступать во многих формах, в том числе:

  • Кадровые записи
  • Учетные данные, используемые в коде приложения или облачных службах
  • Личная информация (PII)
  • Личная медицинская информация (PHI)
  • Данные платежной карты, на которые распространяется PCI DSS

Каждый тип конфиденциальных данных имеет свои уникальные требования безопасности и связанные с ними риски. Эти риски усугубляются сложностью инфраструктуры и приложений, которые могут рассредоточить конфиденциальные данные организации по местам хранения, поставщикам облачных услуг или кластерам. Это рассеивание известно как «разрастание конфиденциальных данных».

Без надлежащего плана управления данными отслеживание и управление этими данными является серьезной проблемой. Уровень сложности поддержания безопасности и соответствия требованиям невероятно высок.

В этой статье мы обсудим, что такое разрастание конфиденциальных данных и как оно происходит. Затем мы рассмотрим решение этой проблемы: централизовать конфиденциальные данные.

Наконец, мы рассмотрим преимущества принятия решения: каких головных болей вы можете избежать и какие возможности вы можете использовать, если сделаете важный шаг по централизации своих конфиденциальных данных?

Давайте углубимся.

Что такое разрастание конфиденциальных данных?

Разрастание конфиденциальных данных происходит по мере того, как личная информация распространяется по инфраструктуре и системам компании.

Способствующие факторы

Разрастание конфиденциальных данных — естественный результат для организации, которая не преднамеренно использует свои политики управления данными, средства контроля безопасности и ИТ-практики. Давайте рассмотрим эти факторы один за другим.

Отсутствие управления данными

По мере роста компании — и объема ее данных — типичным результатом является отсутствие или неточные записи о том, какие данные являются конфиденциальными, где они расположены и как ими управляют.

Управление данными устанавливает политики в отношении маркировки данных, безопасного удаления данных и четко определенного владения данными. Без управления данными, обеспечивающего четкое представление о потоках данных в организации, организация будет иметь неизвестные и незащищенные данные, перемещающиеся по ее инфраструктуре и системам.

Обойденный контроль доступа

Элементы управления доступом, такие как управление доступом на основе ролей (RBAC) или управление доступом на основе атрибутов (ABAC), критически важны для ограничения доступа к конфиденциальным данным. Организации должны учитывать и внедрять продуманные меры безопасности, чтобы свести к минимуму возможность внутренних угроз или внешних атак, которые могут поставить под угрозу конфиденциальные данные.

Однако, когда организация реализует слишком много (или слишком сложных) средств контроля безопасности, сотрудники могут обойти эти средства и пойти по пути наименьшего сопротивления. Они могут использовать сторонние приложения или службы, не проверенные вашей командой безопасности. Такое использование «теневых ИТ», когда отдел обрабатывает свои наборы данных по-своему, может привести к разрозненности данных, дублированию наборов данных и еще больше усугубить разрастание конфиденциальных данных.

Плохая ИТ-практика

Когда организации необходимо внести изменения в свою распределенную систему, но у нее плохая ИТ-практика, возрастает вероятность человеческой ошибки. В результате конфиденциальные данные не отслеживаются и небезопасно распространяются. Эти практики включают в себя:

  • Нет установленного или задокументированного процесса управления изменениями
  • Нет оценки риска
  • Нет повторяющегося процесса развертывания
  • Несогласованное применение обновлений и исправлений
  • Неотслеживаемые изменения конфигурации
  • Неутвержденные интеграции сервисов или приложений

Негативное влияние

Не следует игнорировать потенциальное влияние разрастания конфиденциальных данных. Организация с отсутствующими, слабыми или часто игнорируемыми мерами безопасности подвергается высокому риску раскрытия данных, а финансовые затраты на утечку данных могут быть катастрофическими.

Без надлежащего управления данными ваша организация не может полностью понять текущее состояние управления конфиденциальными данными. Время и ресурсы, необходимые для надлежащей защиты и проверки конфиденциальных записей в этих условиях, могут затруднить выполнение запросов субъектов данных — характерную черту многих законов о конфиденциальности данных.

Наконец, вы не можете игнорировать влияние того, как воспринимается ваша компания. Разрозненные и неуправляемые конфиденциальные данные подвергают компанию риску судебного разбирательства, потери доверия клиентов и испорченной репутации на рынке.

Как вы должны противостоять вызовам?

Упреждающий подход к решению проблемы разрастания конфиденциальных данных способствует повышению осведомленности о сборе, транспортировке, хранении и обработке конфиденциальных данных. Ваша компания может заблаговременно создать, внедрить и соблюдать полную политику управления данными для достижения этой цели. Он начинается с оценки вашего текущего состояния, чтобы определить, что вам нужно исправить.

Аудит

Как ответственный бизнес, вы должны полностью проверить свою инфраструктуру, чтобы оценить состояние конфиденциальности ваших данных. Начните с определения каждой части конфиденциальных данных и связанных с ними угроз безопасности. Это необходимый шаг для создания адекватной политики управления для использования в масштабах всей компании.

Ваша организация должна использовать результаты этих аудитов, чтобы классифицировать обнаруженные конфиденциальные данные и оценить неотложные проблемы безопасности. Не относитесь ко всем данным одинаково. Утечка некоторой информации, такой как данные телеметрии приложений или журналы производительности, не так опасна, как раскрытие PII или PHI. Ваш аудит должен охватывать все источники данных, включая:

  • Сетевые файловые ресурсы
  • Файлы журналов в решении для управления журналами на основе SaaS
  • Наборы данных
  • Исходный код программного обеспечения
  • Другие соответствующие репозитории хранения данных

Безопасный

Далее ваша организация должна рассмотреть меры безопасности для всех конфиденциальных данных. Различные элементы управления безопасностью могут способствовать созданию эффективной и всеобъемлющей политики безопасности. Эти элементы управления включают в себя:

  • RBAC и ABAC
  • Обучение пользователей
  • Шифрование данных (в состоянии покоя, в памяти и при передаче)
  • Безопасное удаление данных
  • Регулярный аудит

Хотя эти элементы управления безопасностью необходимы, их реализация при работе с постоянно растущим объемом конфиденциальных данных может оказаться непростой задачей.

централизовать

По мере того, как ваша организация анализирует результаты аудита данных и начинает формулировать политику управления данными, вам следует подумать о принятии решения для централизованного управления всеми конфиденциальными данными, которыми вы управляете. Определите решение одной или нескольких технологий, обеспечивающих строгий контроль безопасности.

Учитывайте свои бизнес-цели и требования, чтобы обеспечить совместную работу на предприятии и снизить риск использования теневых ИТ. Вы должны избегать или предотвращать многие способствующие факторы, которые приводят к разрастанию конфиденциальных данных, посредством централизованного мониторинга, анализа, управления и настройки элементов управления безопасностью и конфиденциальных данных.

Хотя вы можете внедрить централизованное решение для хранения конфиденциальных данных вручную, этот подход может быть очень рискованным, дорогостоящим и неэффективным. Иногда «самостоятельное создание» создает больше проблем, чем решает. Более надежный вариант — использовать установленное внешнее хранилище конфиденциальности данных для централизации и управления конфиденциальными данными.

Преимущества централизации конфиденциальных данных

Помимо уверенности в том, что вы ответственно обращаетесь с конфиденциальными данными, централизация конфиденциальных данных дает дополнительные преимущества: она позволяет избежать головной боли и использовать возможности.

Избегайте головных болей

Любая компания, имеющая дело с конфиденциальными данными, должна быть готова справиться со следующим:

  • Запрос субъекта данных, в котором пользователь запрашивает доступ или изменение личной информации, которая может быть о нем у компании.
  • Запрос пользователя на осуществление своего права на удаление (также известного как «право на забвение»), в соответствии с которым компания обязана удалить любую личную информацию, которая у нее есть для этого пользователя.
  • Запрос на аудит от внешнего регулирующего органа в отношении использования вашей компанией, объема или обработки конфиденциальных данных.

Эти запросы, независимо от того, связаны ли они с GDPR, калифорнийским CCPA, более поздними законами, такими как CTDPA Коннектикута, или любым другим законом или нормативным актом о конфиденциальности данных, являются причиной невероятных головных болей для тех компаний, которые страдают от разрастания конфиденциальных данных. Выполнение таких запросов, когда конфиденциальные данные разбросаны и не отслеживаются в инфраструктуре и системах, может занять много времени и ресурсов.

С другой стороны, когда все конфиденциальные данные для организации централизованы и отслеживаются в хранилище, эти головные боли исчезают. Например, с хранилищем конфиденциальности данных от Skyflow для полного размещения аудитов или запросов субъектов данных требуется всего несколько простых вызовов API. Поскольку вся информация, собранная для конфиденциальных данных, управляется в одном месте, вы можете быть уверены, что ответы на проверки или запросы субъектов данных содержат надежные, полные и точные результаты.

Воспользуйтесь возможностями

Законы о конфиденциальности и защите данных постоянно меняются и развиваются. Ваша компания, возможно, неустанно работала над соблюдением требований соответствия данных для своих текущих рынков, но если представится возможность для нового рынка — в новом регионе или отрасли, сколько времени вам потребуется для реализации мер соответствия, необходимых для выхода на этот рынок? рынок? Из-за разрастания конфиденциальных данных и новых требований ваша организация может просто промахнуться.

Тем не менее, вы эффективно перекладываете большую часть своих усилий по обеспечению соблюдения требований на доверенного эксперта, централизуя свои конфиденциальные данные с помощью хранилища, которое соответствует правилам конфиденциальности и защиты данных в разных регионах и отраслях. Когда придет время исследовать новый рынок, ваша компания сможет сделать это быстро и уверенно, потому что вы уже готовы соответствовать требованиям этого рынка.

Заключение

Компании, стремящиеся эффективно и надежно централизовать свои конфиденциальные данные и управлять ими, могут использовать в качестве решения централизованное хранилище конфиденциальности данных. Skyflow, управляемое через API, представляет собой хранилище конфиденциальности данных, построенное на принципах нулевого доверия. Вы используете его для предотвращения таких проблем, как разрастание конфиденциальных данных, и в то же время наслаждаетесь высоким уровнем безопасности, поддерживаемым с помощью приложений, инфраструктуры и элементов управления на уровне операций.

Компании, испытывающие разрастание конфиденциальных данных из-за плохого управления информацией, подвергают себя значительным рискам. Ручные обходные пути потенциально могут быть еще более дорогостоящими и неэффективными. Внедрение комплексной политики управления данными и работа с безопасным и эффективным хранилищем конфиденциальных данных — отличное решение для контроля конфиденциальных данных и предотвращения их распространения в сложной инфраструктуре и системах.

Преимущества включают в себя легкое размещение запросов аудита или субъектов данных и гибкость при изучении новых рынков с их правилами конфиденциальности данных.

Спасибо за чтение! Следите за новостями.