在当今全球化和日益数字化的世界中,保护机密和敏感的企业和客户数据的安全至关重要,这不仅关系到企业的成功,也关系到企业的声誉和未来的生存。
对于大多数组织来说,数据安全是一个持续的挑战。网络攻击的威胁是非常真实的,数据泄露的平均成本估计为386万美元,不包括对品牌声誉和客户信任的额外损害,或业务损失。更令人担忧的是,根据波耐蒙研究所的数据,企业平均需要280天来识别和控制此类漏洞2020年数据泄露报告的成本.
漏洞未被发现的时间越长,对相关组织的破坏性和尴尬程度就越大,对于那些没有it部门或it部门的公司来说安全现有的协议最容易受到此类延误的影响。
开始
如果公司想要在整个价值链中有效地保护自己的数据,就需要将外部供应商纳入其网络安全政策。
遵循我们的7点成功计划:
- 步骤1 -评估威胁:首先审计您目前如何管理数据,以及他们使用哪些供应商和技术/工具。注意通过高度不安全的方法(如电子邮件或不安全的FTP站点)传输数据,使用未经授权的设备(pc、平板电脑、个人服务器、不安全的LSP基础设施)或工具(在线聊天、文件传输系统)存储或处理数据,以及在项目完成后它们是否保留您的文档和数据。
- 步骤2 -寻找漏洞:任何拥有大量机密和敏感的公司/客户数据的供应商都使他们成为黑客的主要目标。通过跟踪您的外部合作伙伴和供应商如何管理、传输和控制对您的内容的访问,在整个流程的所有步骤中,您将能够识别您的数据泄露或盗窃风险,并评估他们已经(或没有)实施的安全协议来保护您。
- 第三步-审查你的供应商:检查它们是否有正确的安全协议和凭证,以及最近对它们进行了审计;例如,内部信息安全政策(isp)、信息安全风险评估、SOC 2 Type II审计、ISO 27001合规性和HITRUST认证(以确保适当的信息和文档安全)、质量管理的ISO 9001、个人数据保护的GDPR和CPRA合规性以及安全支付的PCI DSS。询问他们如何确保您的内容的可用性,包括在重大中断情况下的中断和灾难恢复措施。
- 步骤4 -集中跟踪:将内容限制在单一环境(通过受保护的用户界面在线访问)更有效,也更安全。通过为内部和外部使用设置一个安全平台,您可以通过记录用户和工作站对数据的访问来最大限度地减少威胁。
- 第五步-控制访问:使用管理权限、粒度安全控制和安全密码控制控制谁可以访问您的平台。例如,验证用户的IP限制、与内部安全策略的复杂性匹配的分层安全设置(密码长度、密码历史、密码复杂性、允许失败的登录尝试次数);以及基于角色的访问控制(RBAC),将访问权限分配给特定的团队、部门和组织。
- 第六步-根据风险对内容进行分类:高度敏感的内容应受惠于增加的安全级别;例如,如果存在盗窃或工业间谍活动的高风险,限制人们工作的地点或阻止复制和粘贴。受限制的工作站可以限制一切,从复制的能力到互联网接入,以及软件应用程序的使用。这有助于确保在执行工作时数据丢失或被盗的机会最小化。
- 步骤7 -在本地应用全局规则:在本地嵌入公司治理措施将确保平台及其规则不被绕过,但工作流程也应定期审计。不仅很容易回到旧模式,特别是在截止日期很紧的时候,而且风险和威胁的情况一直在变化。
发人深省的统计数据
根据波耐蒙研究所2020年数据泄露报告的成本研究了17个国家的500多起数据泄露事件:
- 客户的个人身份信息(PII)是最常被泄露的记录类型,也是最昂贵的。
- 研究发现,拥有远程员工会使数据泄露的平均总成本增加近13.7万美元。
- 总体而言,恶意攻击是最常见的根本原因(在研究中占52%),而人为错误(23%)或系统故障(25%)。
- 凭证被盗或受损是恶意数据泄露的最昂贵原因,而错误配置的云服务器是恶意攻击造成的泄露中最常见的初始威胁载体,占19%。
- 在2020年的研究中,业务损失成本占数据泄露平均总成本的近40%,为152万美元。
- 在2020年的研究中,公司平均需要207天来识别漏洞,2019年需要73天来遏制漏洞,平均“生命周期”为280天。
- 美国继续遭受全球最高的数据泄露损失,平均为864万美元,其次是中东,为652万美元。
选择一家不仅了解网络安全的重要性,而且积极投资于网络安全的提供商,可以代表成功与失败的区别。如果您的供应商在安全性、隐私性、机密性、遵从性可用性和完整性方面不能与您的内部标准相匹配,那么现在是时候转换了。
