一、 最新数据安全风险形势
企业数据的形式、大小、用途和存储方式都在不断快速变化。企业数据不再局限于孤立的结构中,不再局限于某些业务部门或不受外界影响。数据现在可以自由跨越业务边界。数据在云端漂浮,数据在各业务部门之间传播,随处流动。然后当前数据流动的可见性差,数据安全管控缺乏有效和统一的措施,数据安全相关的管理体系也尚未建立。这些都给企业带来了严峻的数据安全风险。
随着企业加速跨多云和混合 IT 架构的产品和服务数字化转型,他们必须确保对数据分析流程和数据管道进行动态更改。这是为了应对跨云服务的数据开发和扩散的数量、种类、速度和价值的加速。与此同时,由于数据越来越多地来自不同的国家,存储在不同的位置,由不同位置的员工访问,并通过生成式 AI 技术访问,因此数据驻留的复杂性正在加速数据风险。数据风险还受到各种国际隐私、健康、金融、信用卡和政府法规以及高度敏感的知识产权 (IP) 的内部限制的影响。加剧这些风险的是各种安全威胁、意外披露以及与业务合作伙伴和数据生态系统共享数据的要求的影响。
1.数据泄露事件频发
尽管数据代表着各种变化和机遇,但一旦创建或收集,数据就面临着攻击和滥用的威胁。过去十年,业界披露的数据泄露事件数量翻了一番,去年有五亿条记录被泄露,我们对信息的依赖正因缺乏安全性而受到越来越大的威胁。
数据泄露也会带来显性成本。Ponemon Institute 最近的一项研究发现,2023年数据泄露的平均成本为445万美元,10,000 条记录被盗或丢失的风险约为 26%。
2.数据监管越来越严格
随着个人数据规模暴露,数据以及隐私相关立法的增长不可避免。比如:
●收集和处理个人身份信息 (PII) 的公司和政府机构现在必须遵守美国的支付卡行业数据安全标准 ( PCI DSS ) 和健康保险流通与责任法案 ( HIPAA ) 要求
●欧洲的通用数据保护条例 ( GDPR )
●南非的 POPI
●印度的DPDP 法案
●土耳其的 KVKK
●加州消费者隐私法案 ( CCPA )
1.数据安全治理定义
●遵守法规:许多行业都受制于管理数据隐私和安全的法规,例如《健康保险流通与责任法案》(HIPAA)、《通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)。以及国定颁发的各项数据安全相关的法规。组织必须遵守这些法规,以避免法律处罚、声誉损害和业务损失。中国《GB/T44464—2024 汽车数据通用要求》4.1节明确要求汽车数据处理者应建立并实施汽车数据安全管理体系。
《GBT 44464-2024 汽车数据通用要求》:
●最大限度地降低风险:数据治理策略有助于最大限度地降低可能损害组织声誉和底线的数据泄露、网络攻击和其他安全事件的风险。
●增强客户信任:客户信任那些重视数据安全的组织。通过实施强大的数据治理框架,组织可以展示其对保护客户个人身份信息 (PII) 的承诺。
●改善决策:大数据是组织的宝贵资产,数据安全治理可确保其准确、可靠且在需要时可访问。这可改善决策并帮助组织保持竞争优势。
三、建立数据安全治理框架时可能面临哪些挑战?
组织可能面临诸多挑战,例如抵制变革、数据环境的复杂性、平衡安全性与可访问性以及应对不断变化的威胁和法规。应对这些挑战需要灵活且适应性强的治理方法。
●车企当前通常没有明确数据安全主管部门和责任人,导致数据安全合规都是按照项目的方式组织运作的,这通常导致数据安全风险评估工作在企业内容拉通困难,效率低下。
●如果数据安全要求没有解释数据风险如何影响车企项目的目标和业务成果,安全领导者很难用业务主管能够理解的语言传达这些要求。这会导致预算和人员不足,以及数据安全工作推动困难,甚至失败。
●本地和多云数据存储和处理的动态变化性给安全领导者带来了巨大的挑战,他们要适应并提供一致有效的数据安全措施。影子数据、数据驻留、合规性和相互不连接的安全控制都会影响这一点。
●因为大多数云服务和供应商产品都独立运行,数据安全控制、隐私保护以及身份和访问管理 (IAM) 产品之间并为协调一致的工作。
目前针对车企缺乏成熟的数据安全解决方案来高效的进行数据发现、分类和分级操作。
四、 如何创建和实施数据安全治理计划
鉴于数据安全治理计划的重要性,您可以按照以下方法为您的组织创建和实施计划:
4.1.5汽车数据处理者应针对汽车数据全生命周期,制定数据收集、存储、使用、加工、传输、提供、公开、删除等过程的具体分级防护要求和操作规程。
4.1.6汽车数据处理者至少应针对研发设计和生产制造等车辆全生命周期环节制定数据安全流程管理制度。
4.1.1汽车数据处理者应建立并实施汽车数据安全管理体系,采取汽车数据安全保护技术措施,保证汽车数据持续处于有效保护和合法利用的状态。
4.1.8汽车数据处理者应建立汽车数据安全风险监测和事件管理制度,发现汽车数据安全风险时,应立即采取补救措施;发生汽车数据安全事件时,应立即采取处置措施,按照规定及时告知用户并向有关主管部门报告,并应按照规定对重要数据的处理活动定期开展风险评估,向有关主管部门报送风险评估报告。
7. 提供培训和意识:教育所有人了解安全政策和程序。通过网络钓鱼模拟和合规性测试向用户强化政策和程序。持续发布意识材料和提示。
8. 执行审计和监控活动:安排例行内部和第三方数据审计。积极监控系统和用户是否存在违规行为。根据调查结果完善控制措施和政策。
9. 定期审查和报告:重新审视政策和控制措施以进行改进。更新程序以应对新的威胁和法规。向领导层报告进展和指标。
五、 维护数据安全治理的最佳实践
实施后,数据安全治理计划需要主动维护,以跟上不断变化的组织需求、新的数据风险和更新的法规。因此,以下是您可以用来维护数据安全治理计划的四个最佳实践:
1. 动态监控活动
实施强大的 SIEM 解决方案,收集并关联来自整个系统和网络的日志。调整 SIEM 中的检测规则和分析模型可让您识别表明存在潜在威胁的异常行为。例如,规则可以标记下载活动中的异常峰值、奇数时段的访问尝试和其他异常。用户行为分析为活动建立正常基线,并在实际使用情况出现危险偏差时发出警报。
安排团队全天候监控 SIEM 仪表板和警报。授权他们彻底调查问题并协调事件响应流程。他们对 SIEM 洞察的专业分析对于在误报中识别真正的威胁以及优先处理高风险事件以快速遏制至关重要。
2. 激励安全
根据审计结果、政策合规性、培训完成情况和其他治理计划输出建立季度指标,推动安全行为。将这些指标直接与部门奖金挂钩。这在财务上激励所有部门保持您的安全态势。
此外,通过公司奖励和重点介绍来表彰具有安全意识的员工。公开奖励那些在安全措施方面做得出色的员工可以提高安全意识并在组织中树立专家的形象。它激励各级员工认真对待数据治理。
3. 维护数据清单
维护一个经常更新的集中数据清单,记录所有关键数据资产。包括相关详细信息,如分类级别、指定的数据管理员、位置、流程和相关政策。
将清单作为数据治理计划的基础。例如,定期检查清单以识别缺乏足够保护的高风险数据。指派数据管理员负责对其监管的资产实施适当的控制。
4. 透明地报告进展
发生任何违规事件后,发布详细的事件报告,概述根本原因、采取的响应措施和实施的修复措施。提供这种透明的详细信息可以表明对客户的责任感。
此外,积极沟通您在完善治理计划方面取得的重大里程碑。例如,强调新的培训计划、风险评估完成情况或新的自动化政策控制。这可以建立起您对治理的重视。
六、 结论
有效的数据安全治理需要各利益相关方之间的协作,包括高管、IT 专业人员、法律和监管专家以及业务用户。通过建立强大的数据安全治理框架,组织可以降低数据泄露的风险、保护其声誉和资产并遵守法律和监管要求。