BSI全球数字信任保证主管David Mudd分享了三条建议,可帮助您等组织管理和保护数据安全,无论是来自组织运营、员工和合作伙伴、客户还是用户的数据。
新兴数据和隐私格局
身处数字时代的各个组织都依赖数据这一重要资源。数据可用性虽然能够提高生产力和沟通能力,但也带来了与治理、网络安全和数字信任相关的挑战。
当务之急是要把控好数据存储、访问安全和管理流程。这不仅仅涉及运营效率的问题,因为入侵事件会带来严重的财务和声誉后果,特别是受到GDPR等隐私法规的影响。
影响数据安全的趋势有很多种,包括网络犯罪成本、供应链攻击、漏洞增加、勒索软件风险和内部人员因素。
财务影响
根据网络安全风险投资公司的数据,预计到2023年,网络犯罪造成的成本将达到8万亿美元。英国政府统计数据(2021年)显示,39%的英国企业在一年内报告过网络安全入侵事件,其中27%的企业表示入侵事件每周都会发生。据估计,每起入侵事件的平均成本约为8,500英镑,如此频繁发生入侵事件,造成的财务影响很快就不可小觑。
此外,根据IBM的调查,只有21%的组织认为自身的网络安全规划“成熟”,一些组织可能准备不足,从而导致成本上升。
那么,怎样才能弥补这一差距并保护数据呢?
数据管理和安全的最佳实践
虽然没有放之四海而皆准的解决方案,但有典范最佳实践实例,从小型企业到全球巨头,各种规模的组织都能从中受益。
以下三点建议可帮助贵组织踏上建立对数据管理和保护能力的信任之路:
1. 从一开始就谨记最终目标
各组织可以抓住活力数字世界的优势,同时最大限度地降低网络安全风险,进而取得蓬勃发展。为此,各组织需要拥有有效的信息安全管理系统,提供集中式解决方案,将员工、流程和技术结合到一起。
从第一天起,此系统就应该:
- 在业务层面评估风险和机遇
- 关注数据管理和保护目标
- 实施最佳实践控制措施,以降低风险
- 确定责任和行动时间表
- 不断监测和改进,考虑不断变化的风险和业务实践
了解设计、实施和维护有效系统的要求后,企业便可以踏上建立信任、实现效益最大化,以及确保有效数据管理和保护的正确道路。
2. 不仅限于保护的思考
保护贵组织免遭网络安全风险至关重要。然而,只要有心,加上足够的时间,技术精湛的人员也能攻破防御系统。
在保护组织和个人数据的同时,重视威胁检测、可疑活动识别以及网络安全事件的高效响应和恢复,也是加强韧性的关键。
NIST网络安全框架重点关注这些关键主题,并指导组织根据其业务风险实施网络安全措施。
虽然NIST CSF并非一项可认证的方案,但我们可以在可认证的框架(例如ISO/IEC 27001)内予以采用,从而将最佳实践方法结合起来,保护数据并建立信任。
3. 采取基于风险的方法
对于刚刚接触网络安全的组织来说,要了解网络风险的问题和影响以及有效的风险管理,可能十分困难。如何确定优先采取哪些行动?为帮助开展风险评估工作,可参考专门针对网络安全风险的最佳实践指南和标准:
信息安全风险管理指南(ISO/IEC 27005)采用全球风险管理概念和最佳实践,可帮助组织进行风险评估和处理。
美国国家标准与技术研究院(NIST)制定了网络安全框架(CSF),该框架也为网络风险管理提供了指导。
ISO/IEC 27001是信息安全管理的国际标准,旨在解决网络安全和隐私保护问题。该框架将全球共识的最佳实践与ISO管理体系方法相结合,为建立信任奠定了基础。
ISO/IEC 27001可灵活与其他相关安全控制措施和框架进行整合。
随附的ISO/IEC 27002为实际实施提供了参考控制措施和详细指南,可根据风险确定优先次序。您可以根据此基于要求的全球标准寻求认可的认证,进一步增强对数据管理和保护能力的信任。
培养网络恢复能力
网络攻击和漏洞的风险不容忽视,有可能造成巨大的经济损失和声誉损害。但是,您可以采取积极主动的态度,加强防御并制定稳健的战略。
