数据风险评估 (DRA) 是审查存储和管理敏感数据(包括知识产权和个人身份信息 (PII))的位置的过程。通过采用系统化方法,DRA 可以审查敏感数据的位置、访问者以及对数据访问控制所做的任何更改。 通常,公司知道他们维护敏感信息,但他们可能无法识别所有类型的数据及其存储位置。数据风险评估包括检查数据库、文件、共享驱动器和协作工具,以确定它们是否包含关键员工、客户、项目、客户或业务敏感信息。 为什么数据风险评估很重要? 安全界有句话说,你无法保护你不知道自己拥有的东西。数据风险评估可帮助您了解可能导致安全或隐私侵犯的所有潜在威胁向量。 数据风险评估使您能够评估:
如何进行数据风险评估强大的数据风险评估通常遵循三个步骤。 将数据映射到应用程序第一步是全面了解您存储、收集和传输的所有数据(称为数据足迹)。参与此过程时,您需要定义:
作为此过程的一部分,您需要考虑数据类型或属性是高风险、中风险还是低风险。但是,要完成此过程,您需要确保您还决定如何管理对数据的访问。您可能需要考虑分配分类级别,例如:
定义责任方和风险级别后,您需要确保将数据映射到使用它的应用程序,包括:
评估风险此过程涉及审查、分析和评估可能使数据面临风险的威胁和漏洞。 需要审查的一些风险包括:
使用自动化解决方案可以通过扫描数据存储库来帮助简化此过程。然后,他们扫描数据存储库并分析数据存储、处理和安全流程、实践和控制。 修复漏洞一旦评估了潜在风险,您就需要通过补救弱点来降低风险。一些潜在的补救活动包括:
从传统的安全方法转向以数据为中心的安全方法可能具有挑战性。例如,保护网络安全的传统方法侧重于允许流量进出网络的防火墙。然而,分散的员工从公共互联网连接到您的数据。这意味着您需要保护传输本身,例如使用虚拟公共网络 (VPN) 或安全访问服务边缘 (SASE) 来保护传输过程中的数据。 |
|