当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >
报告发现:数据安全是超过 40% 的首席执行官的首要任务
2023-11-09 09:27:00
浏览量:0
关注我们,学习更多隐私合规讯息
由于数据是业务驱动计划的根源,因此维护数据安全性和合规性对于各行业的领导者来说变得势在必行。然而,安全措施正面临着日益严峻的潜在威胁。
根据国际数据公司(IDC) 的一项新调查,54% 的欧洲组织在过去 12 个月内其网络遭受的网络攻击数量有所增加。
在不断出现的威胁和日益严格的法规中保护数据而不影响可访问性是非常复杂的。在其新的 InfoBrief《数据安全平台如何改善安全状况并实现云中的安全数据协作》中,IDC 指出了现代数据安全面临的最紧迫挑战。通过研究这些挑战、如何解决这些挑战以及最适合解决这些问题的工具,组织可以充满信心地应对网络威胁和障碍。
01
日益扩大的数据安全差距
数据使用和数据安全本质上是相互矛盾的。虽然数据有助于洞察和分析驱动的决策,但存在误用和保护不充分的固有危险,导致未经授权的访问、破坏或泄漏。
将这一挑战与将数据迁移到云、广泛的数据民主化、数据孤岛和碎片化政策等因素结合起来,你可以清楚地看到创新数据使用和有效数据安全之间的差距越来越大。
数据就像天然气:它有能力为房屋供暖和发电,但如果不安全地存储、运输和使用,它可能是致命的。
随着时间的推移,标准、工具和最佳实践已经开发出来,以确保天然气在家庭、发电厂和企业中安全使用。今天的数据团队面临着类似的挑战。他们需要工具和策略来帮助弥合安全差距并安全地利用数据。
02
数据安全面临的新挑战
一系列新出现的障碍加剧了这一数据安全差距,这些障碍可能使安全和高效的数据使用变得更加困难。根据 IDC InfoBrief,最常见的挑战包括:
不断增长的威胁形势
网络威胁态势涵盖对特定用户组、业务、部门、时间段或类似分组的全部已知和潜在威胁。随着数据、用户和用例的激增,威胁格局也随之扩大。
IDC 的数据显示,过去 12 个月内,54% 的欧洲组织的网络网络攻击数量有所增加。这些网络攻击发生在攻击面不断扩大、内部威胁频率不断增加以及利用供应链作为新攻击媒介的背景下。所有这些因素都会导致威胁形势不断变化,必须加强敏感数据的防御。
数据蔓延和影子数据
当数据生态系统中创建、收集、共享和分析的数据量呈指数增长时,就会出现数据蔓延。随着组织将更多数据转移到云端并采用去中心化架构,他们的数据足迹会跨平台、工具和应用程序扩展。由分散的全球劳动力以各种方式存储、访问、分析和复制的数据集本质上更难保护。
数据蔓延推动了影子数据的创建,影子数据是被移动、复制、使用和/或存放在云数据生态系统中原始位置之外的信息。这会产生一个严重的盲点,因为未被发现的影子数据并不总是受到网络安全方法的管理和保护。
IDC 发现,只有 20% 的安全受访者在其数据堆栈中使用自动化数据发现和分类工具,这表明更需要一致的数据发现功能,以充分了解哪种敏感数据位于何处。
不断发展的合规法规
随着合规法律法规数量不断增加,组织需要定期改进其数据使用,以保持合规性并避免处罚。IDC 调查的受访者将数据隐私和监管合规性列为 2023 年运营安全的第一要务,高于网络弹性和混合工作安全。
组织必须根据监管细节应用和维护政策。此外,定期审核数据使用对于证明这些行动是适当且合规的至关重要。当被问及保持遵守《通用数据保护条例》(GDPR) 的最大挑战时,IDC 受访者强调:
这凸显了仅遵守一项法规的挑战,更不用说许多组织必须遵守的许多其他联邦、国际、内部和/或行业标准。
03
提高数据安全性的关键方法
为了解决这些扩大数据安全差距的挑战,数据团队需要采取行动来优化安全数据使用。根据 IDC 的调查数据,组织正在采用多种工具和实践来改善其数据安全状况,包括:
平衡数据安全性和实用性
正面解决数据安全漏洞可能很困难,但有必要平衡数据用户的需求与适当的隐私和安全性。IDC 调查中超过一半 (53%) 的受访者表示,让更多内部数据可用和可用是使组织数据驱动的最重要行动。安全被认为是实现民主化、协作数据使用的最常见挑战 (29%)。
IDC 建议数据和治理团队“根据敏感级别制定数据共享指南,并实施适当的数据访问和保护措施。”再加上根据监管要求应用策略,数据团队可以在不牺牲合规性或安全性的情况下实现数据共享和协作。
当使用数据脱敏等隐私增强技术(PET)应用策略要求并使用动态访问控制强制执行时,它们可以随着不断发展的法规进行调整,以保持一致的安全性。
将治理纳入业务战略
云数据治理包含数据访问管理、安全性和合规性等方面,以确保只有正确的用户才能访问敏感的云数据。
为了有效实施,治理需要有效工具和跨职能协调的结合。IDC 建议云数据治理流程遵循以下步骤:
计划:确定组织角色和职能结构,为治理模型奠定基础。
理解:与法律和合规团队合作评估适用于你的组织的治理和合规要求,并任务数据团队促进数据发现和分类。
评估:检查威胁形势,并确定组织的风险偏好、容忍度和风险应对计划。
运营:基于对需求、风险偏好和发现数据的研究,使用动态工具开发、应用和自动化治理策略。
监控:不断检查和调整框架以应对变化
法规、威胁、安全要求等
通过将治理视为持续的组织和技术应用程序,团队可以在云数据保护工作中保持敏捷。
促进组织准备
与治理一样,成功的数据安全态势管理是通过利益相关者协作、清晰的沟通和持续改进来实现的。这需要整个组织的利益相关者的参与和关注,而不仅仅是一个特定的团队。为了实施这种方法,IDC 建议团队遵循以下原则:
政策:数据访问和安全政策应该易于理解,并根据所有利益相关者的意见创建。有了跨团队的共同理解,这些策略就可以毫无混乱地应用和重复。
人员:为了促进与各个团队的协调,组织需要提供全面的培训来教育员工并创造一个负责任和安全的环境。
技术:由于手动流程通常会延长数据处理时间并导致孤岛或瓶颈,因此关键工具和技术的自动化是简化团队安全控制的关键。
04
数据安全平台的重要性日益增长
克服现代数据安全挑战需要一系列不同且连续的任务。不幸的是,保持所有这些任务一致且最新并不总是那么容易。
60% 的 IDC 调查受访者表示,花在维护和管理安全工具而不是调查安全问题上的时间是提高组织 IT 安全能力的最大限制因素。尽管很重要,但维护安全态势不应以繁重的体力劳动为代价。
为了应对这些安全挑战而不成为数据团队的负担,欧洲各地的组织选择在来年扩展和/或升级其数据安全技术:
为了统一政策、人员和技术以缩小数据安全差距,越来越多的团队正在其技术堆栈中实施统一的数据安全平台。数据安全平台是一种将各种面向安全的功能汇集在一个集中的、易于理解的平台中的工具。这些功能包括安全措施,例如:
自动数据发现和分类:自动识别添加到生态系统中的敏感数据的类型和位置,有助于为治理、访问策略和风险管理提供信息。
集中访问管理:应用基于属性的动态访问控制策略来一致地管理跨混合云环境的访问。
隐私增强技术:启用数据脱敏、加密和k-匿名化等技术,以便主动保护静态数据和通过云传输的数据。
持续监控和审计跟踪:对生态系统中的活动进行持续监控,以便提醒任何可疑或有风险的数据使用,并在需要时证明合规性。
当被问及选择数据安全平台的最重要标准时,76% 的受访者告诉 IDC,他们更愿意选择“最佳平台”,即能够在单一工具中提供最多功能的平台。
Immuta 数据安全平台允许团队使用任何利益相关者都易于理解的自动化工具来发现、保护和监控其敏感数据。通过实施强大的数据安全平台,现代组织可以轻松应对网络威胁并解决数据安全漏洞,而无需牺牲实用性。
如何学习法律、IT、人力资源、销售和营销、采购、财务和信息安全?一起了解注册信息隐私专家IAPP CIPP!
注册信息隐私专家CIPP
基本概念:
注册信息隐私专家(CIPP)是首个信息隐私方面的认证资质,它将向世界展示你知道隐私法律和法规以及如何应用它们,并且你知道如何确保在信息经济中的地位。
因各国(地区)数据安全政策不同,CIPP认证又分为CIPP/E(Europe)、CIPP/A(Asia)、CIPP/US(U.S. private-sector)、CIPP/C(Canada)和CIPP/G(U.S. Government)注释2等4个子类。
注释2:由于考试人数少且政策变化大,IAPP在2018年9月30日暂停了CIPP/G认证。
学习内容:
CIPP/E
Introduction to European Data Protection欧洲数据保护导论
European Regulatory Institutions欧洲监管机构
Legislative Framework立法框架
Compliance with European Data Protection Law and Regulation符合欧洲数据保护法律法规
International Data Transfers国际数据传输
CIPP/A
Fundamental Privacy Principles基本隐私原则
Singapore Privacy Laws and Practices新加坡隐私法律和实践
Hong Kong Privacy Laws and Practices香港私隐法和实践
India Privacy Law and Practices印度隐私法和实践
Common Themes Among Principle Frameworks原则框架中的共同主题
CIPP/US(U.S. private-sector)
Introduction to the U.S. Privacy Environment美国隐私环境简介
Limits on Private-sector Collection and Use of Data私营部门收集和使用数据的限制
Government and Court Access to Private-sector Information政府和法院对私人部门信息的访问
Workplace Privacy工作场所隐私
State Privacy Laws州隐私法
CIPP/C
Canadian Privacy Fundamentals加拿大隐私基础
The Canadian Government and Legal System加拿大政府与法律制度
Enforcement Agencies and Powers执法机构和权力
Canadian Privacy Laws and Practices in the Private Sector加拿大私营部门的隐私法律和实践
Canadian Privacy Laws and Practices in the Public Sector加拿大公共部门的隐私法律和实践
适用群体:
CIPP认证主要适用于隐私保护法律法规、合规性审查、信息管理、数据治理、人力资源等领域的从业人员
如何轻松通过IAPP CIPP/E?分享我考CIPP/E的4个关键
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
数据合规零基础,仅用三个月456分通过 IAPP CIPP/E!!
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
四证连过!只用半个月,如何同时通过IAPP CIPP/E+CIPT+CIPPUS+CIPM
往/期/回/顾
合规官与律师:有何区别?
快报!2023年隐私合规薪资调查报告新鲜出炉!隐私工作者平均基本工资增长10%!
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
什么是合规性?不同的合规岗位的职责是什么?
GDPR(通用数据保护条例)存在的意义及对公司的作用
■ DEPTH
想了解IAPP哪个证书适合你?
全套资料长按扫码领取
■ DEPTH
IAPP全套资料小程序领取
-End-
■ DEPTH
想知道IAPP哪个证书适合你吗?
资格评价可直接扫描码
免费评价/赠送一份国际隐私认证学习资料一份
感觉不错你就赞赞我吧!
点分享
点点赞
点在看
戳这个,领取IAPP备考资料
