Управление данными: 5 советов по комплексной защите данных

 Управление данными: 5 советов по комплексной защите данных

Wed Aug 24, 10:48 PM

 защита данных, информационная безопасность, управление данных

Малли Вангала Старший директор по маркетингу соответствия
Эрика Тоэль Старший менеджер по маркетингу продуктов, Microsoft

Ваши данные являются стратегическим активом. Чтобы приносить пользу вашему бизнесу, данные требуют строгого контроля структуры, доступа и жизненного цикла. Однако у большинства руководителей служб безопасности есть сомнения по поводу безопасности данных: почти 70% директоров по информационной безопасности (CISO) ожидают, что их данные будут скомпрометированы в результате атаки программ-вымогателей.¹ Частично проблема заключается в традиционных решениях по управлению данными, которые, как правило, слишком сложны и содержат множество несвязанных дублирующих процессов, дополненных точечной интеграцией. Этот лоскутный подход может выявить бреши в инфраструктуре, которыми воспользуются злоумышленники.

Напротив, упреждающее управление данными предлагает целостный подход, который экономит ресурсы и упрощает защиту ваших активов данных. Этот интегрированный подход к управлению данными является жизненно важным компонентом безопасности Zero Trust и охватывает весь жизненный цикл ваших данных. Это также снижает затраты, связанные с утечкой данных, как за счет сокращения радиуса взрыва, так и за счет предотвращения бокового перемещения злоумышленника в вашей сети. Microsoft Purview предоставляет комплексное решение для управления данными, предназначенное для управления вашими локальными, многооблачными и программными данными как услугой (SaaS). Чтобы помочь вам получить больше от ваших данных, мы собрали пять ориентиров.

1. Создайте карту данных всех ваших активов данных

Прежде чем вы сможете защитить свои данные, вам нужно знать, где они хранятся и у кого есть к ним доступ. Это означает создание исчерпывающих описаний всех активов данных во всем вашем цифровом пространстве, включая классификации данных, способы доступа к ним и их владельцев. В идеале у вас должна быть полностью управляемая служба сканирования и классификации данных, которая занимается автоматическим обнаружением данных, классификацией конфиденциальных данных и сопоставлением сквозной линии передачи данных для каждого актива. Вы также захотите сделать данные легко обнаруживаемыми, пометив их знакомыми деловыми и техническими поисковыми терминами.

Хранилище является жизненно важным компонентом любой карты данных и должно включать технические, деловые, операционные и семантические метаданные. Это включает в себя схему, тип данных, столбцы и другую информацию, которую можно быстро обнаружить с помощью автоматического сканирования данных. Бизнес-метаданные должны включать автоматическую маркировку таких вещей, как описания и термины глоссария. Семантические метаданные могут включать сопоставление с источниками данных или классификациями, а операционные метаданные могут включать действия потока данных, такие как состояние выполнения и время выполнения.

2. Создайте систему принятия решений и подотчетности

Как только вы узнаете, где находятся все ваши данные, вам нужно будет задокументировать роли и обязанности каждого актива. Начните с ответов на семь основных вопросов:

Как осуществляется доступ к нашим данным и как они используются?
Кто отвечает за наши данные?
Как мы будем реагировать на изменение деловых или нормативных требований?
Каков процесс отзыва доступа в связи со сменой роли или уходом сотрудника?
Внедрили ли мы мониторинг и отчетность для отслеживания доступа к данным?
Как мы осуществляем управление жизненным циклом?
Автоматизируем ли мы управление разрешениями для обеспечения безопасности и соответствия требованиям?

В ответ на вопрос номер один вы должны разработать подробный жизненный цикл доступа к данным, который охватывает сотрудников, гостей, партнеров и поставщиков. При принятии решения о том, к каким данным кому-то может понадобиться доступ, учитывайте как роль человека, так и то, как эти данные будут использоваться. Руководители бизнес-подразделений должны определить, какой доступ требуется для каждой должности.

На основе собранной информации ваши партнеры по ИТ и безопасности могут создавать элементы управления доступом на основе ролей (RBAC) для каждой должности сотрудника и запроса партнера или поставщика. Затем группа соответствия будет нести ответственность за мониторинг и отчетность, чтобы гарантировать, что эти средства контроля применяются на практике. Внедрение решения для управления разрешениями также может помочь вашей организации, предотвращая неправомерное и злонамеренное использование разрешений. Автоматически обнаруживая аномальные оповещения, ваша организация может снизить нагрузку на ИТ, сэкономить ресурсы и повысить производительность пользователей.

3. Мониторинг политик доступа и использования

Далее вам необходимо задокументировать политики для каждого репозитория данных. Определите, кто может получить доступ к данным, в том числе доступ для чтения или записи, и как они могут совместно использоваться и использоваться в других приложениях или с внешними пользователями. Будет ли ваша организация хранить в этом репозитории личную информацию (PII), такую как имена, идентификационные номера и домашние или IP-адреса? При работе с любыми конфиденциальными данными необходимо применять принцип нулевого доверия , предусматривающий наименьшие привилегии или своевременный (JIT) доступ.

Модель разрешений JIT усиливает принцип наименьших привилегий, сокращая поверхность атаки только до тех периодов времени, когда привилегии активно используются (в отличие от ежедневной поверхности атаки постоянных привилегий). Это похоже на привилегию just-enough (JEP), когда пользователь выполняет запрос с описанием задачи и данных, к которым ему необходимо получить доступ. Если запрос одобрен, пользователю предоставляется временное удостоверение для выполнения задачи. После завершения задачи личность может быть отключена или удалена. Существует также подход «посредник и удаление доступа», при котором создаются постоянные привилегированные учетные записи, а их учетные данные надежно хранятся. Затем пользователи должны предоставить обоснование при запросе использования одной из учетных записей для доступа к данным в течение определенного периода времени.

Ваша организация может защитить себя, ведя журнал каждого запроса на повышенный доступ (предоставленного или отклоненного), включая случаи, когда доступ был отозван. Все организации, особенно те, которые хранят PII, должны быть в состоянии доказать аудиторам и регулирующим органам, что политика конфиденциальности соблюдается. Устранение постоянных привилегированных учетных записей может помочь вашей организации избежать проблем с аудитом.

4. Отслеживайте как структурированные, так и неструктурированные данные

Традиционно управление данными было сосредоточено на бизнес-файлах и электронных письмах. Но теперь более строгие правила требуют, чтобы организации обеспечивали защиту всех данных . Сюда входят как структурированные, так и неструктурированные данные, совместно используемые в облачных приложениях, локальные данные, теневые ИТ-приложения — все. Структурированные данные состоят из четко определенных типов данных с шаблонами, упрощающими поиск по ним, например Microsoft Office или Google Docs. Неструктурированные данные могут включать в себя что угодно, например аудиофайлы, видео и даже сообщения в социальных сетях.

Итак, должны ли вы оставить на усмотрение отдельного владельца актива реализацию собственной защиты данных в таком обширном ландшафте данных? Альтернатива, которую выбрали некоторые клиенты Microsoft, включает разработку матричного подхода к управлению данными, при котором эксперты по безопасности и соблюдению нормативных требований помогают владельцам данных выполнять требования по защите своих данных. В этом сценарии «общая матрица данных» используется для отслеживания того, как домены данных взаимодействуют в вашей организации. Это может помочь задокументировать, какие области вашего бизнеса могут просто создавать данные, а какие — читать, получать доступ или удалять активы данных. В вашей матрице данных должен быть указан источник данных, включая любые используемые теневые ИТ-системы. Не забудьте захватить все домены и поддомены, содержащие важные или конфиденциальные данные, в соответствии с государственным регулированием. Кроме того, документирование ролей и обязанностей для каждого бизнес-подразделения позволяет всем понять, кто использует определенные данные для конкретной работы, а также кто добавляет данные в систему и кто за это отвечает.

5. Удалите данные, которые больше не нужны

«Темные данные», за хранение которых организации платят, но недостаточно используются при принятии решений, в настоящее время растут со скоростью 62 процента в год.² Учитывая, что большинство ИТ-отделов уже перегружены, просить их охранять огромные озера данных — не рецепт безопасности. Итак, как узнать, что некоторые данные больше не нужны вашей организации?

Иногда самый простой способ защитить данные — удалить их. В соответствии с принципом нулевого доверия «предполагать нарушение», меньше данных означает меньший риск. Кража интеллектуальной собственности (ИС) может быть опасной с финансовой точки зрения, в то время как кража персональных данных клиента может иметь катастрофические последствия для вашего бренда в долгосрочной перспективе. Законы о конфиденциальности требуют, чтобы компании хранили PII только до тех пор, пока она служит своей первоначальной цели. [3] Однако вручную отследить, какие файлы подлежат удалению, практически невозможно. Лучшим подходом является внедрение постоянного контроля для автоматического истечения срока действия PII или настройка автоматических напоминаний для просмотра конфиденциальных данных, чтобы решить, нужны ли они.

Понимание жизненного цикла данных упрощает их удаление, когда они больше не нужны. Интегрированное решение для управления данными с интеллектуальными возможностями машинного обучения может сделать всю работу за вас, классифицируя контент при его создании и автоматически применяя соответствующие политики закрытия. [4] Или используйте многоэтапные политики хранения, чтобы автоматически применять новую метку в конце срока хранения.

Узнать больше

Упреждающее комплексное управление данными — неотъемлемая часть защиты данных, охватывающая весь жизненный цикл и помогающая добиваться результатов в бизнесе, гарантируя доступность, точность и безопасность ваших данных. Microsoft Purview интегрирует и автоматизирует управление данными, устанавливая элементы управления жизненным циклом ваших конфиденциальных данных, защищая от потери данных и управляя RBAC. Чтобы испытать Purview в своей организации, вы можете начать с бесплатной пробной версии .

Чтобы узнать больше о решениях Microsoft Security, посетите наш веб-сайт . Добавьте блог о безопасности в закладки , чтобы быть в курсе наших экспертных материалов по вопросам безопасности. Кроме того, следите за нами на @MSFTSecurity , чтобы быть в курсе последних новостей и обновлений в области кибербезопасности.

¹ Почти 70% директоров по информационной безопасности ожидают атаки программ-вымогателей , Дэнни Брэдбери. 19 октября 2021 г.

² Сентябрь 2021 г. опрос 512 лиц, ответственных за соблюдение нормативных требований в США, по заказу Microsoft от Vital Findings.

³ Персональные данные GDPR — какую информацию они охватывают? , GDPR. 2022.

⁴ Корпорация Майкрософт стремится к тому, чтобы системы искусственного интеллекта разрабатывались ответственно и таким образом, чтобы гарантировать доверие людей. В рамках этого обязательства инженерные группы Microsoft Purview реализуют шесть основных принципов стратегии ответственного ИИ Microsoft для проектирования, создания и управления решениями ИИ. В рамках наших усилий по ответственному развертыванию ИИ мы предоставляем документацию, гейтинг, аттестацию сценариев и многое другое, чтобы помочь организациям ответственно использовать системы ИИ.

Рубрика:

Информационная безопасность, Управление данными

← Завершение Microsoft 365 Business Voice. Перейдите с лицензий Business Voice на лицензии Microsoft Teams уже сегодня!

Как удалить учетные записи Microsoft 365 бывших сотрудников и правильно сохранить данные их почтовых ящиков →