一个简单的五步框架,可将数据泄露风险降至最低
今天的企业是靠数据运营的。他们在每次互动中都会从客户那里收集信息,并利用信息来提高效率、增加灵活性和提供更高级别的服务。但令人痛苦的是,企业收集的所有数据也让它们成为网络犯罪的诱人目标。
随着时间的推移,证据越来越多。在过去几个月里,我们目睹了针对Neiman Marcus、Facebook和Robinhood股票交易应用程序的大规模数据泄露。他们并不孤单。近年来,全球数据泄露的数量平均每天接近三次。
这一统计数据表明,普通企业背后都有一个目标,没有时间对其数据进行防御。这样做并不困难。为了提供帮助,这里有一个简单的5步框架,所有规模的企业都可以使用它来保护客户数据。
第一步:审查和调整数据收集标准
为了提高客户数据的安全性,企业需要采取的第一步是审查他们正在收集的数据类型及其原因。大多数从事这项工作的公司最终都会对他们的发现感到惊讶。这是因为,随着时间的推移,收集到的客户信息的数量和种类远远超出了企业的原始意图。
例如,收集客户的姓名和电子邮件地址等信息是相当标准的。如果这就是一家企业的所有文件,那么它们对攻击者来说就不会是一个有吸引力的目标。但是,如果企业有云呼叫中心或任何类型的高接触销售周期或客户支持,那么它可能会收集家庭地址、财务数据和人口统计信息,然后他们就组装了一个集合,如果数据泄露出去,它非常适合进行身份盗窃。
因此,在评估每个收集的数据点以确定其价值时,企业应该问自己:这些数据有助于实现哪些关键业务功能。如果答案是无,他们应该清除数据并停止收集。如果有一个有效的答案,但功能并不重要,那么业务部门应该权衡数据带来的好处和如果数据被泄露可能遭受的伤害。
第二步:最小化数据访问
在减少要保护的数据量之后,下一步是通过最小化谁可以访问数据来减少数据的攻击面。访问控制在数据保护中扮演着极其重要的角色,因为窃取用户凭据是恶意参与者进入受保护系统的主要途径。因此,企业需要将最小特权原则(PoLP)应用于其数据存储库以及与其连接的系统。
减少对数据的访问还有另一个有益的副作用:它有助于防止内部威胁导致数据泄露。研究公司Forrester预测,内部威胁将导致今年31%的违规行为–;一个只会从那里增长的数字。因此,通过让敏感的客户数据不被大多数员工掌握,企业可以同时应对内部和外部威胁。
第三步:尽可能消除密码
即使在减少了能够访问客户数据的人数之后,还有另一种方式可以让企业让黑客更难访问客户数据。这是为了尽可能消除密码作为主要身份验证方法。这是一个可以改变世界的小改变。
根据2021 Verizon数据泄露调查报告,去年所有数据泄露的61%涉及使用凭证,被盗或以其他方式使用。因此,从逻辑上讲,需要担心的证书越少越好。还有一些方法可以减少对传统密码认证系统的依赖。
一种是使用双因素身份验证。这意味着账户需要密码和时限安全令牌,通常通过应用程序或短信发送。但更好的方法是使用硬件安全密钥。它们是依靠牢不可破的密码凭证来控制数据访问的物理设备。随着它们的使用,网络钓鱼和其他社会工程攻击的威胁大大减少。它们是目前最好的安全身份验证方法,至少在Hushmesh等解决方案成为主流之前是如此。
第四步:加密静止和运动中的数据
诚然,到目前为止,泄露的凭证是造成数据泄露的最大威胁,但它们并不是唯一的威胁。攻击者总是有可能利用软件缺陷或其他安全漏洞绕过正常的访问控制方法访问客户数据。最糟糕的是,这样的攻击很难被发现,而且一旦发生就更难阻止。
这就是为什么任何称职的数据保护计划的第四步都是确保所有客户数据始终保持加密。这意味着使用在数据通过时采用强加密的软件、采用加密的网络硬件和组件,以及允许静态数据加密的数据存储系统。这样做可以最大限度地减少攻击者在没有凭据的情况下可能获得的数据访问,并有助于在发生漏洞时控制损害。
第五步:制定数据泄露应对计划
不管你怎么看,都没有完美的网络安全。攻击者总是努力寻找可利用的弱点。做好准备的企业将淘汰或减少其中的许多。但这并不意味着数据泄露将变得不可能。
这就是为什么客户数据保护框架的最后一步是制定数据泄露响应计划。它应该为企业提供一个路线图,以帮助其在攻击者确实获得客户数据访问权限时做出响应。该计划应不遗余力地进行详细说明–;详细说明内部IT团队应该如何反应、第三方安全顾问是谁,以及如何通知客户违规行为。
最后一部分很可能是最重要的。在数据泄露的后果中,一家企业如何让其客户变得完整,可以决定其反弹的程度(如果有的话)。例如,与Aura这样的消费者安全公司合作,为受影响的客户提供金融欺诈保护和身份保护可能是明智的。这将降低任何后续事件进一步损害企业声誉的风险。
底线
一个简单的事实是,尚未遭受数据泄露的企业正在借用时间运营。他们的可能性非常小。但是,应用本文详述的框架将大大有助于扭转不利局面。它将最大限度地降低数据泄露的风险,限制数据泄露造成的损害,并帮助公司处理善后事宜。在网络安全这个不完美的世界里,任何企业都没有更多的要求。
