随着技术使用的增加和世界变得越来越数字化,组织已经开始收集越来越多的个人数据。对于组织而言,他们的消费者数据是一项宝贵的资产,因为它可以帮助他们更好地了解客户。虽然这些数据对于组织产生收入很重要,但他们也有责任保护免受安全事件和数据泄露的影响。
Close-up image of male hands using mobile smartphone with icon graphic cyber security network of connected devices and personal data information
数据安全是什么、为什么需要它、有哪些不同类型的控制,以及什么可以帮助您选择与数据处理环境相关的合适的数据安全控制。
什么是数据安全?
数据安全是指为保护存储在组织内的个人数据并保护其免受安全事件和数据泄露而实施的控制、政策和程序。由于贵公司采取的任何技术或组织措施失败,都可能导致安全事件。例如,防火墙故障、角色和访问概念错误、缺乏密码保护、数据泄露、恶意软件访问或违反内部安全法规。安全事件可以是物理的或技术的,或者两者兼而有之。
另一方面,数据泄露是导致任何意外或非法破坏、丢失、更改、披露或访问个人数据的安全事件。它可能是故意或意外的数据丢失,并可能对数据主体造成重大伤害,包括情绪困扰。
安全事件和数据泄露几乎总是可以避免的事件,并且组织在过去受到了全面的冲击。这方面的一些例子如下:
2020 年 6 月,人们可以写自己的故事的网站 Wattpad遭遇数据泄露,暴露了近 2.68 亿条记录。该漏洞暴露了个人信息,包括用户名、IP地址甚至以 bcrypt 哈希形式存储的密码。
2019年5月,名为Canva的澳大利亚图形设计应用程序遭受攻击,导致 1.37亿用户帐户遭到破坏。数据泄露包括暴露的用户名、密码、电子邮件地址甚至居住城市。
新浪微博在2020年初经历了一次泄露事件,其中5.38 亿用户帐户被盗。这次违规暴露了用户名、号码、位置甚至真实姓名。
如果过去是任何指标,那么数据泄露是真实存在的,组织将需要尽其所能来遏制数据泄露攻击的爆炸区域。让我们看看如何保护您的组织免受安全事件和数据泄露的影响。
为什么需要数据安全?
出于多种原因,组织必须实施数据安全:
保护信息:数据安全最重要的目的是保护个人数据。敏感的个人数据(例如健康信息)一旦遭到破坏,就会对数据主体产生切实的负面影响,因此值得额外保护。
提高声誉:以保护其数据并实施有效安全控制而著称的组织可以在其所有利益相关者(包括客户)中建立信心。大多数企业都希望在全球市场上将自己塑造为对社会负责的公司,以便他们能够吸引投资者和其他业务合作伙伴。因此,一家公司的声誉对长期成功至关重要。拥有有效的数据安全有助于组织在全球市场上建立消费者的信任和声誉。
节省成本:如果在早期实施有效的安全控制,组织可以节省大量因数据泄露而产生的成本。
满足合规性标准:如今,公司必须确保他们保护自己的数据,以保持对国家和全球法规的遵守,例如欧盟的通用数据保护条例GDPR。
数据安全控制的类型
组织可以通过多种方式实施数据安全:
数据加密:数据加密软件通过使用一种算法,使数据不可读,只能用密钥或适当的权限解密,有效地增强了数据的安全性。如果数据确实遭到破坏,任何获得访问权限的人都将无法使用。
数据屏蔽:数据屏蔽软件通过使用代理字符隐藏字母和数字来隐藏数据。这是另一种加密方法,它使任何试图破坏数据的人都无法使用数据。
数据擦除:有时不再需要数据,需要从所有系统中擦除数据。这可能是消除责任的好方法。不存在的数据不能被破坏。
数据弹性:创建数据备份和副本是降低意外数据丢失或破坏风险的好方法。所有组织都应该为其数据存储做好备份。
组织通常结合使用上述数据安全控制措施来探索可能的最佳数据安全性。
实施数据安全控制的最佳实践
为帮助您选择与您的情况相关的适当安全控制,我们准备了一组最佳实践以确保您遵循。
了解需要保护的数据的性质
不同的数据类别可以具有不同程度的敏感度。数据越敏感,数据主体受到伤害的风险就越高。即使是少量高度敏感的个人数据的泄露也会对个人造成严重后果。因此,组织在实施安全控制时必须考虑要保护的个人数据的敏感性和确切性质。
结论
实施适当的安全控制是大多数隐私法的基本要求。如果不这样做,您的组织可能会面临巨额罚款和处罚,并会失去消费者的信任和信心。因此,强烈鼓励组织采取任何必要措施来阻止潜在的安全事件或数据丢失。
声明:文章翻译自:GlobalSign本网站发布的图片均以转载为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。本站原创内容未经允许不得转载,或转载时需注明出处:GDCA数安时代
领取优惠
提交成功!