好看的课外书,大主宰天蚕土豆

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案

CISO注意：保留數(shù)據(jù)記錄的“七宗罪”

對于受到越來越多法規(guī)和法律義務約束的企業(yè)組織而言，保留數(shù)據(jù)記錄既是生活中的既定事實，也是日漸棘手的問題。本文將介紹保護數(shù)據(jù)和文檔安全的最糟(以及最佳)做法。

創(chuàng)新互聯(lián)服務項目包括肥西網(wǎng)站建設、肥西網(wǎng)站制作、肥西網(wǎng)頁制作以及肥西網(wǎng)絡營銷策劃等。多年來，我們專注于互聯(lián)網(wǎng)行業(yè)，利用自身積累的技術優(yōu)勢、行業(yè)經(jīng)驗、深度合作伙伴關系等，向廣大中小型企業(yè)、政府機構(gòu)等提供互聯(lián)網(wǎng)行業(yè)的解決方案，肥西網(wǎng)站推廣取得了明顯的社會效益與經(jīng)濟效益。目前，我們服務的客戶以成都為中心已經(jīng)輻射到肥西省份的部分城市，未來相信會繼續(xù)擴大服務區(qū)域并繼續(xù)獲得客戶的支持與信任！

運動賽場上的記錄是用來突破的，而企業(yè)的數(shù)據(jù)記錄卻始終被保留著，直至它們徹底失效為止。隨著合規(guī)性要求的迅速增加，企業(yè)正面臨著一場“數(shù)據(jù)海嘯”，當前和過時的數(shù)據(jù)記錄鋪天蓋地，完全壓垮了對其進行安全存儲、跟蹤、管理并最終銷毀所需的人力和IT資源。

Deloitte風險與金融咨詢公司的負責人Sean Riley表示，每個記錄類別都有一個保留期限，該保留期限由公司政策、業(yè)務風險承受能力、外部法律建議、法規(guī)要求和法律義務等多方因素共同定義。一些記錄只需要保存三年，而其他一些則可能出于商業(yè)價值或法律原因需要無限期保存。

Deloitte風險與金融咨詢公司另一位負責人Dan Frank補充道，數(shù)據(jù)記錄保留實際上會導致數(shù)據(jù)破壞。大多數(shù)組織非常擅于保留數(shù)據(jù)。CISO的主要責任是確保組織具有安全的數(shù)據(jù)和記錄銷毀能力，以及相應的技術，以在適當?shù)那闆r下安全地刪除數(shù)據(jù)和記錄。保存過時的記錄可能會導致時間浪費和不必要的混亂，因為研究人員在搜索實際需要的記錄時會發(fā)現(xiàn)自己正在尋找過時的文件。未能正確整理記錄還會增加存儲和備份成本。

由于CISO正面臨著越來越多的法定記錄庫存，并且難以決定要保留或丟棄哪些文檔和數(shù)據(jù)，因此他們很容易成為下述數(shù)據(jù)保留“七宗罪”的受害者：

數(shù)據(jù)保留“七宗罪”

1. 忽略最新的和不斷發(fā)展的記錄保留要求

最近的隱私法規(guī)，例如歐盟的《通用數(shù)據(jù)保護法規(guī)》(GDPR)和《加州消費者隱私法案》(CCPA)，極大地增加了對更深入、更強大和更具包容性的數(shù)據(jù)治理的需求。為了在當今的隱私、法律和法規(guī)環(huán)境中生存，企業(yè)組織必須對其擁有哪些數(shù)據(jù)?所處位置?應該如何使用?與誰共享?是否屬于出售數(shù)據(jù)?以及必須保留多久等問題有一個非常全面的了解。如果CISO不先了解組織所擁有的數(shù)據(jù)類型和數(shù)量以及其所處位置，談何幫助組織實施全面的記錄保留時間表和策略?

2. 忽略適當定義數(shù)據(jù)保留目標和職責

數(shù)據(jù)保留和數(shù)據(jù)治理程序不是一次性項目。一個功能完整且可靠的程序需要人員、流程和技術來支持它們，就像任何其他公司職能(例如數(shù)據(jù)隱私或信息安全)一樣。

管理著組織不善的數(shù)據(jù)保留程序的CISO往往會與內(nèi)部團隊脫節(jié)，這有助于推動降低風險的結(jié)果。當CISO讓所有利益相關者(包括法律、隱私、網(wǎng)絡安全、IT和記錄管理團隊)參與制定和實施記錄保留協(xié)議和程序時，其將為組織提供最佳服務。

無組織無意識的CISO也容易錯過日常業(yè)務過程中不時出現(xiàn)的主要數(shù)據(jù)管理改進機會。記住，內(nèi)部系統(tǒng)的升級、遷移以及外部事件(例如資產(chǎn)剝離和收購)可以為實施數(shù)據(jù)管理改進策略提供時機。

3. 無法完全了解CISO在記錄保留中的作用

盡管律師、CIO和CDO通常負責建立基本的記錄保留策略和時間表，但CISO在記錄管理過程中同樣發(fā)揮著核心作用，尤其是在保存和提供可用于支持安全調(diào)查的數(shù)據(jù)，以及可用于證明數(shù)據(jù)完整性的監(jiān)管鏈證據(jù)等方面。除此之外，信息安全領導者還必須能夠證明事件相關性，以滿足法院的“不可抵賴性”要求，并提供事件歷史記錄，以確定環(huán)境中事件的停留時間。最后，CISO應該負責(提交)與獨立審計有關的報告……以及法律和法規(guī)義務。

4. 對數(shù)據(jù)生命周期元素缺乏全面的了解

一些CSO對數(shù)據(jù)生命周期中涉及的各種元素缺乏全面的了解。結(jié)果，關鍵數(shù)據(jù)生命周期元素經(jīng)常被忽略或被錯誤地使用。

了解處理活動的確切名稱和描述、流程所有者、數(shù)據(jù)處理器以及業(yè)務目的和合法性只是挑戰(zhàn)的一部分。加上與處理活動相關聯(lián)的資產(chǎn)以及它們的地理位置，還有很多元數(shù)據(jù)需要分析。即便元數(shù)據(jù)正確，也必須要有專人進行初始分析，這并不是傳統(tǒng)的安全技能集。

5. 完全信任自動化記錄管理解決方案

記錄自動化可以是一種非常有用且節(jié)省時間的技術。不幸的是，它同時也是一個非常復雜的工具，很容易導致錯誤的記錄保留或銷毀決策，尤其是在配置不當或使用不當?shù)臅r候。對于每個用例而言，理解是什么觸發(fā)了自動化流程的變更——例如法律保留、稅務審計保留以及法規(guī)變更——是一件非常困難的事情。

無論是手動記錄管理還是自動化配置過程中，人類仍需要發(fā)揮重要作用。與監(jiān)管利益相關者就他們的目標和定期清除進行雙向溝通至關重要。明確能夠在內(nèi)部和外部搜索和操縱數(shù)據(jù)的數(shù)據(jù)管理員同樣至關重要。

6. 忽略保留戰(zhàn)術性日志數(shù)據(jù)

這種疏忽可能會特別致命，因為如果必須對重大漏洞進行分類或解決其他類型的重大安全事件，調(diào)查人員可能需要回溯歷史數(shù)據(jù)才能發(fā)現(xiàn)事件的根源所在。要知道，發(fā)現(xiàn)違規(guī)事件的根源或是損害的程度，在很大程度上都要依賴回溯流量和其他日志數(shù)據(jù)，以明確攻擊者的攻擊路徑以及執(zhí)行的相關技術。缺乏對戰(zhàn)術性日志數(shù)據(jù)的訪問，就無法準確定位發(fā)生攻擊的確切時間，以及攻擊者在此過程中所遵循的流程、技術和策略。

7. 未能定期檢查當前記錄保留期限是否仍然有效

如今，監(jiān)管形勢正在不斷變化，每當法規(guī)或法律要求變更時，CISO需要做好準備以快速地調(diào)整記錄保留期限。如果本該清除的記錄繼續(xù)保留著，或是需要保留的記錄自動清除掉了，都可能會導致嚴重的財務和訴訟后果。對保留期限進行嚴格監(jiān)督，這一點至關重要。

除此之外，安全專家還敦促CISO必須準確監(jiān)控管理層和員工如何訪問和處理記錄。要知道，無論書面記錄保留政策多么完美，如果人們不遵守該政策，一切將毫無意義。

文章標題：CISO注意：保留數(shù)據(jù)記錄的“七宗罪”
文章網(wǎng)址：http://m.fisionsoft.com.cn/article/cohisji.html