在日益不可预测的数字环境中,当今的信息安全团队经常面临新的复杂挑战. 他们负责保护跨多个系统的大量数据. 此外,他们面临着越来越多的攻击面和前所未有的违规频率.
2023年,数据泄露的全球平均成本飙升至4美元.4500万年,1 在过去三年中增长了15%. 作为回应,法律和监管机构不断提高安全标准, 规则每年都会更新.
组织需要遵守管理数据保留和存储的多种法规, 信息系统, 敏感数据, 消费者隐私. 法规遵从性, 再加上来自消费者和利益相关者的压力, 需要一个正式的IT治理框架来确保数据安全.
挑战:断开的数据和操作孤岛
许多组织在孤立的孤岛中管理他们的数据隐私和安全计划. 隐私团队通常会管理数据映射和维护处理活动(RoPA)的记录。, 安全团队监控风险和控制, 数据治理团队构建数据目录并实施管理. 最近的一项调查显示,75%的高管认为他们的组织过于复杂,从而增加了风险敞口.2
复杂性常常阻碍我们的理解, 对组织的数据(从类型和数量到存储和处置)有很好的理解是构建安全基础设施的关键.
很好地理解组织的数据——从类型和数量到存储和处置——是构建安全基础设施的关键.
任其发展, 孤立的环境和不必要的复杂性会导致效率低下, 重复的数据, 浪费资源, 使维护端到端安全性变得困难.
解决方案:提高整个生态系统的可见性
虽然大多数信息安全领导者都有IT治理计划, 他们往往缺乏对数据及其相关风险的全面认识. 即使是最周密的计划,如果没有将所需政策付诸实施的可见性,也会失败.
操作可见性将消除筒仓和复杂的工作流程, 提供实时洞察, 为什么, 以及数据的位置.
整合这些信息有助于识别盲点和遵从性差距, 帮助防范潜在风险. 通过了解IT治理如何影响日常操作, 组织可以优化程序以适应其独特的需求和目标.
需要考虑的关键问题
在实现IT治理计划时,需要提出一些关键问题. 回答这些问题有助于更深入地了解组织的数据:
- 组织的战略目标是什么,IT治理如何与之一致?
- 收集哪些类型的敏感数据和业务关键型数据,数据存储在哪里?
- 如何管理、分类和保护敏感数据?
- 哪些策略可以确保数据安全?
- 目前如何管理数据风险,存在哪些差距?
- 适用于该行业的相关监管框架和合规标准是什么?
- IT治理计划中需要哪些角色和职责?
- 组织将如何适应技术、法规和战略目标的变化?
清楚地了解对IT治理框架的需求, 组织可以采取3个建议步骤来建立可持续的数据安全计划:
- 发现-首先使用健壮的数据分类系统识别和分类敏感数据和关键业务数据. 自动化系统使团队能够监视和分析数据资产, 优先考虑那些对组织最有价值的人.
- 控制-通过自动策略编排和补救行动保护和管理敏感数据. 策略帮助定义整个生命周期的数据处理, 确保一致和可执行的控制. 补救行动, 例如访问撤销或数据加密, 是否在违反策略时触发以立即保护敏感数据.
- 激活启用隐私, data, 业务团队将遵从性活动自动化,并促进负责任的数据使用. 跨职能协作对于按照已建立的治理策略实施遵从性活动和负责任的数据使用至关重要.
拥有必要的知识和战略行动计划, 组织有足够的设备来构建健壮且持久的数据安全程序.
利用技术简化IT治理
组织应该考虑利用工具和技术来满足不断变化的IT治理需求. 与现有基础设施集成并自动执行日常任务的有目的解决方案可以简化大部分工作负载, 从数据发现到遵从性活动. 它们允许团队绕过手动的权宜之计,在不中断业务操作的情况下降低风险.
最终, 加强IT治理和可见性有助于降低风险, 最大化资源, 为组织创造最大的价值.
尾注
1 IBM, 数据泄露报告的成本2023, 2023
2 普华永道,”你的组织是否过于复杂而无法保护?”
Felix Muckenfuß, CIPM, CIPP/E
数据和人工智能治理专家在哪里 OneTrust. 在这个角色中, 他支持OneTrust隐私和数据治理云, 就如何将隐私合规性转化为可信和合乎道德的数据使用,向澳门赌场官方下载提供建议.