我的编程空间,编程开发者的网络收藏夹
学习永远不晚

首席信息安全官如何不错过与首席数据官的合作机会?

短信预约 -IT技能 免费直播动态提醒
省份

北京

  • 北京
  • 上海
  • 天津
  • 重庆
  • 河北
  • 山东
  • 辽宁
  • 黑龙江
  • 吉林
  • 甘肃
  • 青海
  • 河南
  • 江苏
  • 湖北
  • 湖南
  • 江西
  • 浙江
  • 广东
  • 云南
  • 福建
  • 海南
  • 山西
  • 四川
  • 陕西
  • 贵州
  • 安徽
  • 广西
  • 内蒙
  • 西藏
  • 新疆
  • 宁夏
  • 兵团
手机号立即预约

请填写图片验证码后获取短信验证码

看不清楚,换张图片

免费获取短信验证码

首席信息安全官如何不错过与首席数据官的合作机会?

Alation公司解决方案营销总监Myles Suer表示,近日与一家分析机构的分析师在一次电话会议中讨论了数据的安全性。分析师表示,大多数企业的首席信息安全官仍然专注于保护其企业业务免受外部入侵或危害,而不是保护其企业最有价值的资产(数据)免受内部和外部威胁。

[[401928]]

大多数人都非常关注《隐私工程师宣言》一书作者所说的“访问阶段保护”。Constellation研究公司分析师Dion Hinchcliffe说,“不幸的事实是,安全没有边界。人们再也无法信任任何事物,即使在外围也是如此。任何人可以连接全球互联网,网络攻击者也可以攻击所有人。”

前首席信息官Wayne Sadin对此表示认同,他说:“我特别不喜欢‘外围’,因为这意味着‘内部=安全,外部=危险’”。他表示,尽管访问阶段保护仍然是安全架构的重要组成部分,但首席信息安全官仍有机会做更多的事情,可以与首席数据官开展合作,以保护其所在公司及其数据的真正价值。

采取这一步骤的原因是,正如首席信息安全官所知道的那样,网络攻击者变得越来越老练。他们有些并不强行攻击企业防火墙,而是找到众所周知的窗口。他们这样做的目的是针对控制数据库访问权限的数据库,并使用网络钓鱼和其他攻击技术来获取企业的客户数据,网络攻击者因此可以访问企业的客户数据库中的所有内容。

安全教育仍然很重要,那么有一个问题是:首席信息安全官和首席数据官为什么不积极保护其公司数据?

这是建立合作伙伴关系的一个绝佳机会,因为首席信息安全官可以利用首席数据官的数据知识和治理技能,而首席数据官可以利用首席信息安全官的内部和外部威胁知识。

系统化的数据治理

保护数据的核心要素是使数据治理实现系统化。有了数据治理,任何人(无论职位或级别多高)都不应该有权访问所有数据。需要的是建立一些安全原则和流程,将控制和信息构建到流程、系统、组件和产品中,以实现对个人信息的授权、公平和合法处理。

具体来说,其合作机会是为个人可识别信息(PII)建立数据治理,并遵守ISO 27001标准。企业首席信息安全官和首席数据官目前应该面临的问题是,如何做好这一点,特别是在传统企业中。

为此建议企业执行以下三个步骤:

步骤1:建立数据管理

一切都需要从数据管理开始。需要注意的是,数据管理员并不像IT部门那样关心数据。

只有数据的所有者才知道应该如何管理数据,以及他们的行业在个人可识别信息(PII)方面需要遵循的合规性要求。因此,其首要任务是为数据类建立数据所有者。

通过这样做,数据管理员需要确保为最终数据所有者提供有关如何维护、管理、治理和保护数据的数据策略。尽管有隐私类型,但在这里关注的是安全性、道德、隐私。Constellation公司的Hinchcliffe表示,保证数据安全的第一步是在组织内建立授权,然后集中足够的资源来做任何事情。这样,治理、隐私、安全政策就可以得到充分的制定和实施。

在这里,重要的是要采取一种非侵入性的数据治理方法。这种方法的前提是企业已经在管理数据,但是他们以非正式的方式管理数据,从而导致数据管理方式的效率低下或无效。

这是一个有效的数据治理程序,旨在对有关数据收集、创建、定义、对齐、优先级排序、监视和执行的规则进行整理。这其中包括数据治理规则和数据定义的创建。对于个人可识别信息(PII)尤其如此。

在这里要确定谁可以查看或修改数据。在流程方面,数据治理至少包括以下步骤:1)数据规则和定义;2)决策规则;3)责任;4)控制;5)数据利益相关者;6)数据管理人员;7)数据处理。

在建立数据规则和流程后,首席信息安全官和首席数据官可以实施下一阶段,进入步骤2。

步骤2:资料发现

令人悲哀的是,很多企业不知道他们拥有什么数据,甚至不知道数据位于何处。其中包括个人可识别信息(PII)。

因此,这一步骤全部与数据发现有关。首席信息官Martin Davis建议企业在实施第二个步骤时,对数据进行分类,在何处以及如何使用数据,因为无法管理自己不知道的内容。这是必不可少的步骤,因为即使出于保护数据、遵守隐私法规和治理的最佳意图。在不知道存在公开的数据及其位置时,也无法进行保护。这一过程涉及发现、目录和元数据创建,这是保护数据的关键功能。在发现过程可以自动发现潜在的个人可识别信息(PII)的情况下尤其如此。

步骤3:保护数据

在步骤3中,将策略应用于敏感数据(在数据目录中!),以便其他人知道如何/不能使用该数据。其目标应该是保护移动的数据和静止的数据。

为了实现这一点,采用多种数据保护技术。在这里,除了数据库加密之类的粗粒度控制之外,还必须执行这些操作。这些类型的方法容易受到数据库网络钓鱼事件的影响。此外,加密只保护和锁定那些没有凭据的数据。这在许多层面上都是有问题的。

令人悲哀的是,企业需要在内部和外部保护其数据。这就要求数据访问者具有不同的访问权限,并符合隐私规则。表格、行和列的粗粒度加密处于打开或关闭状态。

这确实适用于企业想要防止网络攻击的场景。粗粒度加密只会保护企业免受外部的影响,并且只有在尚未获得员工凭据的情况下才可以。

事实上,即使已经通过加密进行了数据保护,也需要授权(谁可以访问什么)。加密主要有助于防止存储设备/磁盘和数据包嗅探器被盗。

与此同时,企业需要能够使用数据来创建业务创新和发展所需的见解。例如,在大数据中,其目标不应妨碍数据集成或保护客户隐私权的法规要求。这意味着数据应可用于执行分析和关键业务流程。但是与此同时,非公开的个人身份信息应该受到保护,使其免受没有授权使用的内部或外部各方的侵害。

与其相反,细粒度的控制包括授权、屏蔽、角色加密。这使企业可以防御内部和外部威胁。这使企业可以控制人们可以通过角色、人员或数据看到的内容。这样可以实现更加智能化、以动态数据为中心、以人为中心的数据保护。

此外,有效的数据管理应利用化名来代替数据主体的身份,以便需要其他信息来重新识别数据主体。这些附加信息应与人员、角色、数据本身有关。

为了符合ISO 27001的标准,需要采用一种技术途径,不仅可以智能地保护数据的访问,而且还保护移动中的数据。进行这项工作需要与数据一起移动的数据规则。这种集中治理和化名,可以在数据到达的任何地方进行保护。

通过医疗保健行业中的实例可以理解这种方法的强大功能。患者可能希望医生了解其全部病历资料,但并不希望他可以查看患者的财务记录。

结语

总之,在首席信息安全官和首席数据官之间进行协调需要这3个步骤。这是两个职能部门都获得业务信誉的良好机会。但问题仍然存在:他们是否准备好携手合作,为企业和客户创造一个更好、更安全的世界?

 

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

首席信息安全官如何不错过与首席数据官的合作机会?

下载Word文档到电脑,方便收藏和打印~

下载Word文档

猜你喜欢

首席信息安全官如何不错过与首席数据官的合作机会?

首席信息安全官可以利用首席数据官的数据知识和治理技能加强安全,而首席数据官可以利用首席信息安全官的内部和外部威胁知识保护数据。两者之间可以更好地开展合作。

首席信息官与首席信息安全官如何融洽相处

作为战略要务,安全工作的不断攀升已改变了IT与信息安全主管之间的关系。本文将介绍首席信息官和首席信息安全官如何成为推动形成协同效应的合作伙伴。

首席信息官和首席技术官如何更有效地合作,你学会了吗?

如果团队看到他们的首席技术官和首席信息官相互尊重,愿意相互学习,并与共同的愿景、文化和目标保持一致,那么他们自己就更有可能接受相同的愿景、文化和目标。这可能会提振收入和收入。

首席信息安全官如何与企业董事会讨论网络安全

随着数据泄露事件达到历史最高水平,首席信息安全官需要时刻保持警惕,以发现IT基础设施中的盲点,并降低风险,最终确保企业的业务安全。

首席信息安全官对其安全状况的信心如何?

48%的首席信息安全官认为他们的企业在未来一年内可能面临遭受重大网络攻击的风险,而去年有64%的人这样认为。

首席信息安全官仍然会犯的漏洞管理错误

一些常见的失误和误解可能使企业的漏洞管理无法做到最好。

首席信息安全官如何确保企业高管的信息安全

当网络犯罪分子试图侵入企业的信息系统并获取敏感和专有信息时,企业高管和董事会成员可能成为网络攻击的目标,首席信息安全官为他们提供信息安全防护需要全面的方法。

首席信息安全官如何成为创新的推动者

网络安全解决方案提供商Forcepoint公司EMEA地区高级副总裁Myles Bray对首席信息安全官(CISO)的角色如何发生变化以促进创新进行了阐述和分析。

首席信息安全官与供应商建立良好合作关系的秘诀

首席信息安全官与供应商建立并保持尽可能良好的合作伙伴关系,特别是考虑到与现代企业合作的供应商数量正在不断增加。但是,这样做需要更多的时间和精力,需要考虑各种因素。

首席信息安全官如何与企业董事会成员和高管讨论网络安全

随着许多数据泄露和勒索软件攻击事件已经成为头条新闻,并带来相关的灾难性后果,例如业务关闭、财务/收入损失、声誉受损等,许多企业董事会成员和高管已经意识到,网络安全不再单是一个IT方面的问题,而且也是业务方面的问题。

首席信息安全官如何平衡人工智能的风险和收益

所有人工智能项目在某种程度上都存在一些风险,生成式人工智能的快速增长和部署凸显了安全控制措施的局限性,同时也开辟了新的脆弱性。
人工智能2024-11-30

首席信息安全官的10个预测及2021年如何应对不确定性

Netskope公司EMEA地区首席信息安全官Neil Thacker探索了企业领导者如何通过对2021年的10个首席信息安全官(CISO )预测来应对不确定性。

政府部门的首席信息安全官如何应对数字化转型计划

咨询服务机构Booz Allen公司高级副总裁、面向公民服务的云计算和数据工程解决方案负责人Dan Tucker为政府部门首席信息安全官如何进行数字化转型工作和面临的安全挑战提出了一些建议。

首席信息安全官如何规划其职业生涯的未来发展

许多安全专家仍然渴望提升企业安全团队的级别,成为首席信息安全官,然后在规模越来越大或更复杂的企业中担任首席信息安全官。但长期提任安全领导者和该领域的其他人表示,越来越多的首席信息安全官正在决定寻求更进一步的职位。

首席信息安全官的真正角色—将技术理解与说服艺术相结合

首席信息安全官专注于使用安全技术阻止对企业的违规行为,尽管这是其工作的一部分,但首席信息安全官的作用远不止于此。

确保数据和人才安全是印度首席信息官如今最关心的问题

调研机构Gartner公司最近对技术高管的一项调查表明,网络安全将在未来一年继续成为印度企业首席信息官的首要任务。

求职者应聘首席信息安全官在简历方面仍然会犯的六个错误

首席信息安全官这个职位如今已从以技术为中心的角色演变为执行角色。那么首席信息安全官的简历是否反映了这种转变?

金融机构的首席信息安全官如何改进其网络安全战略以抵御网络威胁

作为负责确保业务运营和数据的安全性和连续性的企业高管,金融机构的首席信息安全官都非常清楚这一事实。但是,随着威胁环境的不断变化和发展,首席信息安全官需要定期重新评估其安全计划,以确保维护企业的安全和数字化业务的增长。

优秀的首席信息安全官如何利用人才和技术而成为超级明星

企业需要投资于提高员工的网络安全技能。与尝试从外部招聘新人相比,投资培训企业内部具有才能并且忠诚的员工要好得多,而且通常也更容易。但即便如此,将这些学习资源放在最好的地方,以获得所需的结果是关键。

Blackwoods公司是如何在数字化转型中应对首席信息官经历的健康危机的

Blackwoods公司在疫情发生之后,为此制定新的数字战略,以支持在家工作、远程购物,并确保重大数字化转型计划和完整的ERP升级项目保持在正轨上运行。

热门标签

编程热搜

编程资源站

目录