Защита данных: вам пора переосмыслить свою стратегию
Чтобы работа с данными не повлекла за собой новые риски для компании, переосмыслите свою действующую стратегию управления данными. Для того, чтобы это сделать нужно задать себе правильные вопросы. Список таких правильных вопросов подготовили для вас специалисты Informatica.
Защита данных не только после хакерской атаки
Защита данных – дисциплина, о которой обычно задумываются только после хакерской атаки или утечки. Это в природе человека – не задумываться о том, что нельзя увидеть или потрогать. Но новостные сюжеты о новых утечках и штрафах показывают, что такой поход неверен. Любой компании нужна надёжная стратегия защиты данных.
Защита данных – комплексное и многоплановое понятие. Прежде всего, необходимо понять, где хранятся ваши данные, где они находятся в зоне риска и как обеспечивается защита данных.
Современная стратегия защиты данных или подход закрытого периметра?
Важно понимать, что информационная безопасность (ИБ) в целом сейчас всё больше становится дата-центричной. Раньше ИБ больше фокусировалось на вопросах доступа: кто и к каким сведениям может получить доступ. Проблема с таким подходом в том, что он не учитывает многие особенности использования данных.
Большинство программ по ИБ устарели в мире, где многие компаний используют системы, которыми не управляют (мобильные системы, системы в облаках, SaaS-решения). Также программы информационной безопасности не учитывают разнообразие типов данных, которые генерируются людьми, системами и приложениями. Нужно, чтобы корпоративные стратегии по ИБ перестали так фокусироваться на доступе к информации, больше внимания уделялось использованию данных и их онтологии.
Не раскрываете ли вы случайно чувствительную информацию в своих метаданных?
Метаданные – данные о данных. Довольно давно для того, чтобы упростить хранение, поиск и выгрузку информации, было решено добавлять дополнительную информацию для описания данных в файлы данных. Эта дополнительная информация и есть метаданные. По сути своей они никак не отличаются от надписей, которые раньше делались на бумажной документации перед отправкой её в архив.
Но с точки зрения защиты данных проблема в том, что метаданные сейчас стали очень обширными. Они могут содержать персональную, закрытую, конфиденциальную информацию и даже может позволять получить доступ к самим данным, которые описывает. Чем полнее метаданные, тем больше риск того, что они станут причиной раскрытия информации.
Знаете ли вы, где хранятся ваши данные? Заархивированы ли они? Есть ли их копии? Знаете ли вы, как попадают в открытый доступ сведения, которые больше не нужно защищать?
Ситуация с данными, которые сейчас не используются, находятся в покое, усложнилась с появлением облачных решений и решения SaaS. Ваши данные сейчас могут храниться где-то далеко и туда у вас может не быть доступа. Кроме того, данные часто хранятся во множестве копий. Даже если сами данные будут удалены, они не всегда утеряны. Зачастую их можно заново найти в системе хранения.
Данные и метаданные, которые используются приложениями также могут быть связаны с рисками, особенно при их перемещении. Проблемы могут возникнуть при очистке данных (устранение дубликатов и ошибок в информации). Чувствительные корпоративные данные могут попасть в открытый доступ при работе с ними ИТ-специалистов (вы же не хотите, чтобы они увидели финансовую информацию клиентов и другое).
Как организована у вас защита данных для транзакционных данных и данных «на лету»? Используете ли вы маскирование данных и технологию очистки для них?
Я советую вам внимательно посмотреть на все данные, которые хранит ваша компания, на протяжении всего их жизненного цикла. Нужно определить риски, связанные с данными. Эти риски могут быть связаны с тем, как данные хранятся, используются, перемещаются, интегрируются, оказываются доступными внутри компании или снаружи и так далее.
Как я уже писал, сейчас защита данных – это не только традиционные инструменты информационной безопасности, маскирование и очищение информации. На рынке сейчас есть целый ряд решений, которые позволяют оценить риски в области безопасности данных и определить:
- То, что в последствии может перерасти в значительные проблемы с защитой данных;
- То, где можно автоматизировать процессы для того, чтобы улучшить безопасность до желаемого уровня.
Пример такого решения – Secure@Source. Это решение обеспечивает автоматический анализ сведений компании. Такой анализ позволяет определить риски для того, чтобы снизить их, ввести новые политики и автоматизированные процедуры для подержания желаемого уровня защиты данных.
Что вы уже делаете в области защиты данных?
Защита данных – важная часть стратегии любой компании. Безусловно, стратегия не должна охватывать все аспекты сразу, но она может стать хорошим началом дискуссии в компании по этому поводу. Защита данных должна быть одним из важнейших приоритетов компании. Это убережёт вас от попадания в новости об очередной утечке и штрафов за неё.
Также вам может быть интересна статья Защита данных в эру Big Data.
Обновлено: 22.03.2023
Опубликовано: 02.08.2019