如今�����,英國幾乎所有(88%)組織都采用了云計算技術(shù)�����,這與2012年相比大幅增加����,當時只有一半以上。這不可避免地導(dǎo)致了存儲在云中的客戶數(shù)據(jù)量的增加�,以支持從在線服務(wù)和網(wǎng)站到銷售和基礎(chǔ)設(shè)施的所有內(nèi)容。保持這些數(shù)據(jù)安全對于企業(yè)的順利運營和客戶保護至關(guān)重要�。
然而,許多組織在云平臺中仍在沒有很好地保護他們的數(shù)據(jù)�。例如在去年,Verizon公司存儲在的AWS公司服務(wù)器中的600萬個客戶詳細信息對外泄露�����。這只是企業(yè)遷移業(yè)務(wù)的一個案例,卻沒有很好理解如何正確保護其數(shù)據(jù)�����。使問題進一步復(fù)雜化的是���,企業(yè)通?���?缍鄠€云平臺運行���,例如AWS、微軟Azure�,Google等,每個云平臺都有不同的安全流程和協(xié)議����。
更糟糕的是,許多組織似乎不愿意解決目前的問題:三分之一(34%)的人認為組織自己有責任在云中保護他們的數(shù)據(jù)�,而三分之二(62%)的人認為,云計算提供商要對客戶的數(shù)據(jù)負責���。由于不到一半(46%)的企業(yè)明確定義了保護云中機密或敏感信息的角色和責任�,顯然很多企業(yè)都在努力讓自己的數(shù)據(jù)井然有序。
負責云計算安全
通用數(shù)據(jù)保護條例(GDPR )在今年5月25日開始實施�����,這迫使云安全的所有權(quán)牢牢掌握在企業(yè)手中�。根據(jù)該規(guī)定,如果任何無擔保的歐盟客戶數(shù)據(jù)遭到入侵�����、被盜或放錯位置�,無論是內(nèi)部存儲在數(shù)據(jù)中心還是云中,持有該數(shù)據(jù)的企業(yè)都將被追究責任����。
沒有充分措施保護數(shù)據(jù)的組織在監(jiān)管機構(gòu)發(fā)現(xiàn)之后將受到巨額罰款和法律訴訟。此外�����,超過三分之二的客戶(70%)將在違規(guī)事件后放棄與其供應(yīng)商的合作�。那么,組織可以做些什么來避免這種情況呢?
需要的是組織的領(lǐng)導(dǎo)力���。雖然云計算服務(wù)本身通常是安全的���,但安全配置和使用它們的任務(wù)通常由組織的IT 管理人員���、開發(fā)團隊甚至業(yè)務(wù)經(jīng)理負責。但是�,圍繞誰應(yīng)該實施云計算安全的這個問題比較混亂,將會讓數(shù)據(jù)缺乏保護�。組織現(xiàn)在必須在他們使用的任何云平臺中完全擁有安全性。
必須為企業(yè)董事會指定一名負責人(例如首席信息安全官)�,需要向企業(yè)其他高層管理人員闡述數(shù)據(jù)安全的重要性,并在發(fā)生違規(guī)時對數(shù)據(jù)安全負責����。這可以確保企業(yè)獲得董事會的支持�����,廣泛推廣云計算安全策略����,并教育員工具有良好的網(wǎng)絡(luò)安全措施和習(xí)慣,從而最大限度地降低內(nèi)部風險�。
一旦這位負責人被任命為企業(yè)董事會成員�,就必須著手確保云平臺受到保護�。以下是幫助解決這個問題的六個步驟:
云計算安全的6個步驟
(1)了解自己的數(shù)據(jù)
在實施任何網(wǎng)絡(luò)安全策略之前,企業(yè)必須首先對自己的數(shù)據(jù)進行審計���。這有助于他們了解所收集或生成的數(shù)據(jù)�,以及最敏感和最有價值的數(shù)據(jù)所處的位置����。如果企業(yè)不知道他們擁有和生產(chǎn)什么數(shù)據(jù),他們甚至無法開始保護它����。在歐盟實施的通用數(shù)據(jù)保護條例(GDPR )監(jiān)管下,如果發(fā)現(xiàn)的任何數(shù)據(jù)未使用����,企業(yè)還必須確保安全地刪除。
(2)必須保護所有敏感數(shù)據(jù)
雖然企業(yè)限制誰可以訪問敏感數(shù)據(jù)至關(guān)重要���,但是廣泛使用的技術(shù)(如加密技術(shù))將確保在未經(jīng)授權(quán)的人員訪問時不能使用這種技術(shù)�����。
因此�,在這個步驟發(fā)生之前,企業(yè)必須了解其最有價值數(shù)據(jù)的存儲位置�。也許在他們自己的服務(wù)器上、在公共云中�,或在混合環(huán)境中,但無論數(shù)據(jù)在何處����,都必須始終使用加密等協(xié)議來保護數(shù)據(jù)。
(3)安全存儲密鑰
加密數(shù)據(jù)時���,會創(chuàng)建加密密鑰���。這些密鑰是解鎖和訪問加密數(shù)據(jù)所必需的。因此����,企業(yè)必須確保安全地存儲這些密鑰。
通過異地存儲物理密鑰���,有助于確保它不能鏈接到云中的任何加密數(shù)據(jù)。加密僅與所采用的密鑰管理策略一樣好�����,并且企業(yè)必須將密鑰保存在安全位置,例如遠離數(shù)據(jù)本身的外部系統(tǒng)���,以防止它們被竊取���。
(4)引入雙因素身份驗證
接下來,企業(yè)應(yīng)采用強大的雙因素身份驗證�����,以確保只有授權(quán)員工才能訪問他們需要使用的數(shù)據(jù)����。
雙因素身份驗證涉及個人采用他們擁有的東西保護自己的賬戶,例如智能手機上的消息���。以及他們知道的東西�����,比如密碼����。這比單獨依賴密碼更安全,因為密碼很容易被黑客竊取�。
(5)始終安裝最新的補丁
隨著漏洞和缺陷的出現(xiàn),硬件和軟件不斷被其供應(yīng)商修補���,以防止黑客利用它們�����。許多企業(yè)不能足夠快地安裝補丁或使用不再接收常規(guī)補丁的軟件����。Net Marketshare公司的數(shù)據(jù)顯示���,盡管已停止使用補丁����,但20個組織中仍有一個組織在使用Windows XP����。企業(yè)必須在可用時安裝補丁,以避免成為黑客輕松攻擊的目標�����。
(6)評估并重復(fù)
一旦企業(yè)實施了上述步驟���,就必須對進入其系統(tǒng)的所有新數(shù)據(jù)重復(fù)每個步驟�����,這至關(guān)重要�����。網(wǎng)絡(luò)安全和通用數(shù)據(jù)保護條例(GDPR )合規(guī)是一個持續(xù)的過程�。這些步驟最終將有助于使企業(yè)的數(shù)據(jù)對于攻擊者不具有吸引力或不可行,即使在發(fā)生違規(guī)行為時,他們也無法使用�、竊取或保留他們的數(shù)據(jù)以獲取贖金。
由于任何數(shù)據(jù)泄露事件會帶來巨大的是影響和損失�,因此聲譽和財務(wù)成為目前企業(yè)開展業(yè)務(wù)的重中之重,對企業(yè)來說�,對數(shù)據(jù)擁有完全的所有權(quán)從未如此重要����。
由于歐盟已經(jīng)頒布實施通用數(shù)據(jù)保護條例(GDPR),消費者擁有比以往更多的數(shù)據(jù)權(quán)利����,組織的管理人員必須提供網(wǎng)絡(luò)安全策略�����,并教育員工應(yīng)對所面臨的網(wǎng)絡(luò)風險�。
咨詢熱線:
400-996-8756
產(chǎn)品詳情頁
0371-89913000
