一、 最新数据安全风险形势

企业数据的形式、大小、用途和存储方式都在不断快速变化。企业数据不再局限于孤立的结构中,不再局限于某些业务部门或不受外界影响。数据现在可以自由跨越业务边界。数据在云端漂浮,数据在各业务部门之间传播,随处流动。然后当前数据流动的可见性差,数据安全管控缺乏有效和统一的措施,数据安全相关的管理体系也尚未建立。这些都给企业带来了严峻的数据安全风险。

随着企业加速跨多云和混合IT 架构的产品和服务数字化转型,他们必须确保对数据分析流程和数据管道进行动态更改。这是为了应对跨云服务的数据开发和扩散的数量、种类、速度和价值的加速。与此同时,由于数据越来越多地来自不同的国家,存储在不同的位置,由不同位置的员工访问,并通过生成式 AI 技术访问,因此数据驻留的复杂性正在加速数据风险。数据风险还受到各种国际隐私、健康、金融、信用卡和政府法规以及高度敏感的知识产权 (IP) 的内部限制的影响。加剧这些风险的是各种安全威胁、意外披露以及与业务合作伙伴和数据生态系统共享数据的要求的影响。

1.数据泄露事件频发

尽管数据代表着各种变化和机遇,但一旦创建或收集,数据就面临着攻击和滥用的威胁。过去十年,业界披露的数据泄露事件数量翻了一番,去年有五亿条记录被泄露,我们对信息的依赖正因缺乏安全性而受到越来越大的威胁。

数据泄露也会带来显性成本。Ponemon Institute最近的一项研究发现,2023 年数据泄露的平均成本为 445 万美元,10,000 条记录被盗或丢失的风险约为 26%。

2.数据监管越来越严格

随着个人数据规模暴露,数据以及隐私相关立法的增长不可避免。比如:

  • 收集和处理个人身份信息 (PII)的公司和政府机构现在必须遵守美国的支付卡行业数据安全标准 ( PCI DSS )和健康保险流通与责任法案 ( HIPAA ) 要求

  • 欧洲的通用数据保护条例 ( GDPR )

  • 南非的 POPI

  • 印度的DPDP法案

  • 土耳其的 KVKK

  • 加州消费者隐私法案 ( CCPA )

  • 中国《数据安全法》、《个人信息保护法》、《网络数据安全管理条例》、《汽车数据安全管理若干规定(试行)》等。

对于车企安全管理者来说,实施流程来管理和缓解数据风险迫在眉睫。必须用业务语言来评估数据安全管理流程,展示数据相关的风险如何导致业务风险的。业务风险包括对项目考核、客户体验、数据质量、合规性和隐私报告或处罚。受这些风险影响的业务绩效通常可以用财务、项目和服务交付目标来衡量。

二、 什么是数据安全治理

1. 数据安全治理定义

Gartner将数据安全治理 (Data Security Governance,DSG)定义为“信息治理的一个子集,通过制定的专门的数据安全策略和流程来保护企业数据(包括结构化数据库形式和非结构化文件形式的数据)。

数据安全治理是一种管理和保护数据的系统性和整体性方法。该方法是为了保护数据并安全有效地使用数据。在现实中,数据安全治理目标的达成是通过企业建立的数据安全治理框架来完成。数据安全治理框架是一套结构化的指导方针和实践,以确保组织的数据资产受到保护、符合相关法律法规并得到合理、合规的使用。数据安全治理框架涵盖组织管理以及保护数据的政策、程序、角色和职责等。

2.实施数据安全治理的必要性和价值

  • 保护敏感信息:安全和数据治理有助于保护组织中的数据免遭盗窃、丢失或未经授权的泄露。它确保只有授权人员才能访问信息,并且信息得到安全存储。

  • 遵守法规:许多行业都受制于管理数据隐私和安全的法规,例如《健康保险流通与责任法案》(HIPAA)、《通用数据保护条例》(GDPR)和《加州消费者隐私法案》(CCPA)。以及国定颁发的各项数据安全相关的法规。组织必须遵守这些法规,以避免法律处罚、声誉损害和业务损失。中国《GB/T44464—2024 汽车数据通用要求》4.1节明确要求汽车数据处理者应建立并实施汽车数据安全管理体系。

《GBT 44464-2024 汽车数据通用要求》:

4.1.1 汽车数据处理者应建立并实施汽车数据安全管理体系,采取汽车数据安全保护技术措施,保证 汽车数据持续处于有效保护和合法利用的状态。

  • 最大限度地降低风险:数据治理策略有助于最大限度地降低可能损害组织声誉和底线的数据泄露、网络攻击和其他安全事件的风险。

  • 增强客户信任:客户信任那些重视数据安全的组织。通过实施强大的数据治理框架,组织可以展示其对保护客户个人身份信息(PII) 的承诺。

  • 改善决策:大数据是组织的宝贵资产,数据安全治理可确保其准确、可靠且在需要时可访问。这可改善决策并帮助组织保持竞争优势。

3.数据治理与数据安全治理

数据治理和数据安全治理是相关的概念,但它们侧重于管理数据的不同方面。

n数据治理是指组织内数据的整体管理。它涉及制定数据收集、存储、分析和共享方式的政策、流程和标准。数据治理的目标是确保数据准确、可靠并有效地用于支持业务目标。

n数据安全治理专注于保护数据免遭未经授权的访问、使用、披露、修改或破坏。它涉及建立控制和程序以确保敏感数据的安全,包括加密、访问控制、监控和事件响应。

n数据治理关注的是数据的整体管理,而数据安全治理是数据治理的一个子集,专注于保护敏感数据免受安全威胁。

三、建立数据安全治理框架时可能面临哪些挑战?

组织可能面临诸多挑战,例如抵制变革、数据环境的复杂性、平衡安全性与可访问性以及应对不断变化的威胁和法规。应对这些挑战需要灵活且适应性强的治理方法。

  • 车企当前通常没有明确数据安全主管部门和责任人,导致数据安全合规都是按照项目的方式组织运作的,这通常导致数据安全风险评估工作在企业内容拉通困难,效率低下。

  • 如果数据安全要求没有解释数据风险如何影响车企项目的目标和业务成果,安全领导者很难用业务主管能够理解的语言传达这些要求。这会导致预算和人员不足,以及数据安全工作推动困难,甚至失败。

  • 本地和多云数据存储和处理的动态变化性给安全领导者带来了巨大的挑战,他们要适应并提供一致有效的数据安全措施。影子数据、数据驻留、合规性和相互不连接的安全控制都会影响这一点。

  • 因为大多数云服务和供应商产品都独立运行,数据安全控制、隐私保护以及身份和访问管理(IAM) 产品之间并为协调一致的工作。

  • 目前针对车企缺乏成熟的数据安全解决方案来高效的进行数据发现、分类和分级操作。

四、 如何创建和实施数据安全治理计划

鉴于数据安全治理计划的重要性,您可以按照以下方法为您的组织创建和实施计划:

1. 建立数据治理委员会:组建一个由 IT、安全、法律、财务和关键业务部门的高管利益相关者组成的委员会。定义委员会的章程、职责和决策权。安排定期会议来审查安全状况和举措。笔者认为这个举措是整个数据安全治理能否顺利开展的根本基础。需要建立一个组织范围的强有力的数据安全管理团队。

《GBT 44464-2024 汽车数据通用要求》:

4.1.3 汽车数据处理者应建立汽车数据安全管理机构,确定相关人员职责。

2. 对数据进行分类分级:记录所有关键数据类型和位置。分析数据敏感度、价值和监管风险。根据调查结果将数据分为不同风险等级。在政策中为每种分类定义批准的处理方式。

《GBT 44464-2024 汽车数据通用要求》:

4.1.4 汽车数据处理者应建立汽车数据分类分级制度,形成汽车数据资产管理台账。

3. 制定数据安全政策:从认可的整体数据安全政策开始,制定与数据治理框架相一致的特定政策,用于数据分类、保留、数据访问控制等。通过角色、职责、可接受的使用、分散访问控制和自助服务流程解决数据访问管理问题。

《GBT 44464-2024 汽车数据通用要求》:

4.1.5汽车数据处理者应针对汽车数据全生命周期,制定数据收集、存储、使用、加工、传输、提供、公开、删除等过程的具体分级防护要求和操作规程。

4.1.6汽车数据处理者至少应针对研发设计和生产制造等车辆全生命周期环节制定数据安全流程管理制度。

4. 进行风险评估:盘点资产、流程、控制和漏洞。评估已识别风险的概率和业务影响。根据风险评级确定缓解措施的优先顺序。根据评估生成报告以提供安全路线图。

5. 实施保障措施和控制措施:根据政策部署数据安全控制措施。使用平台实现控制和监控的自动化。进行测试以验证有效性。

《GBT 44464-2024 汽车数据通用要求》:

4.1.1汽车数据处理者应建立并实施汽车数据安全管理体系,采取汽车数据安全保护技术措施,保证汽车数据持续处于有效保护和合法利用的状态。

6. 制定事件响应计划:定义事件响应的角色、剧本和通信协议。针对数据泄露场景量身定制计划。通过练习进行测试以发现差距。

《GBT 44464-2024 汽车数据通用要求》:

4.1.8汽车数据处理者应建立汽车数据安全风险监测和事件管理制度,发现汽车数据安全风险时,应立即采取补救措施;发生汽车数据安全事件时,应立即采取处置措施,按照规定及时告知用户并向有关主管部门报告,并应按照规定对重要数据的处理活动定期开展风险评估,向有关主管部门报送风险评估报告。

7. 提供培训和意识:教育所有人了解安全政策和程序。通过网络钓鱼模拟和合规性测试向用户强化政策和程序。持续发布意识材料和提示。

8. 执行审计和监控活动:安排例行内部和第三方数据审计。积极监控系统和用户是否存在违规行为。根据调查结果完善控制措施和政策。

9. 定期审查和报告:重新审视政策和控制措施以进行改进。更新程序以应对新的威胁和法规。向领导层报告进展和指标。

五、 维护数据安全治理的最佳实践

实施后,数据安全治理计划需要主动维护,以跟上不断变化的组织需求、新的数据风险和更新的法规。因此,以下是您可以用来维护数据安全治理计划的四个最佳实践:

1. 动态监控活动

实施强大的 SIEM解决方案,收集并关联来自整个系统和网络的日志。调整 SIEM 中的检测规则和分析模型可让您识别表明存在潜在威胁的异常行为。例如,规则可以标记下载活动中的异常峰值、奇数时段的访问尝试和其他异常。用户行为分析为活动建立正常基线,并在实际使用情况出现危险偏差时发出警报。

安排团队全天候监控 SIEM仪表板和警报。授权他们彻底调查问题并协调事件响应流程。他们对 SIEM 洞察的专业分析对于在误报中识别真正的威胁以及优先处理高风险事件以快速遏制至关重要。

2. 激励安全

根据审计结果、政策合规性、培训完成情况和其他治理计划输出建立季度指标,推动安全行为。将这些指标直接与部门奖金挂钩。这在财务上激励所有部门保持您的安全态势。

此外,通过公司奖励和重点介绍来表彰具有安全意识的员工。公开奖励那些在安全措施方面做得出色的员工可以提高安全意识并在组织中树立专家的形象。它激励各级员工认真对待数据治理。

3. 维护数据清单

维护一个经常更新的集中数据清单,记录所有关键数据资产。包括相关详细信息,如分类级别、指定的数据管理员、位置、流程和相关政策。

将清单作为数据治理计划的基础。例如,定期检查清单以识别缺乏足够保护的高风险数据。指派数据管理员负责对其监管的资产实施适当的控制。

4. 透明地报告进展

发生任何违规事件后,发布详细的事件报告,概述根本原因、采取的响应措施和实施的修复措施。提供这种透明的详细信息可以表明对客户的责任感。

此外,积极沟通您在完善治理计划方面取得的重大里程碑。例如,强调新的培训计划、风险评估完成情况或新的自动化政策控制。这可以建立起您对治理的重视。

六、 结论

有效的数据安全治理需要各利益相关方之间的协作,包括高管、IT专业人员、法律和监管专家以及业务用户。通过建立强大的数据安全治理框架,组织可以降低数据泄露的风险、保护其声誉和资产并遵守法律和监管要求。。

参考:

https://www.iri.com/blog/vldb-operations/data-security-governance/

https://www.secoda.co/glossary/data-security-governance-framework

https://satoricyber.com/cloud-data-governance/what-is-data-security-governance/

https://cyral.com/glossary/data-security-governance/

说明:本公众号为青骥信息安全小组所有,不隶属于任何商业机构,部分信息为网络收集,版权归原作者所有,文中观点仅供分享交流,不代表本公众号立场。如涉及版权等问题,请您联系ICVSec@126.com告知,以便及时处理,谢谢!

声明:本文来自汽车信息安全,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。