据相关统计,员工泄露文件的可能性比新冠肺炎疫情爆发前增加了85%。事实上,在新冠肺炎疫情之前,由于公司通过云计算优先考虑速度和合作,数据安全风险正在增加。然而,当我们以新的方式上传、下载、发送电子邮件、聊天和同步共享时,这些强大而有希望的新工作方式现在已经成为企业最大的数据安全风险。
真正的问题是,数据安全范式没有跟上,这使得数据安全团队从后面赶上,对日益增长的内部风险视而不见。与此同时,用户对速度、原创性和创新感到沮丧。
内部风险管理:以风险为基础,以数据为中心的方法
内部风险是危及公司及其员工、客户和合作伙伴财务、声誉或运营福利的数据暴露事件(安全、合规或竞争性)。虽然内部风险听起来像内部威胁的同义词,但事实并非如此;必须有重要的区别。内部威胁关注特定的人或实体,而内部风险关注数据。
内部风险的核心是数据保护。基于政策的传统方法,如DLP、CASB和UEBA,注重合规,最多只能提供一种保护感。当封锁被用作实际反应时,组织会影响员工的生产力和安全团队的内部声誉。这些方法不可避免地会导致风险被安全团队的噪音淹没--他们试图维持分类和政策,但他们永远无法真正实现只阻止威胁而不阻止其他目标。相比之下,内部风险管理提供了一种以数据为中心的方法,保证了数据使用政策的遵守,建立了更具风险意识的文化,加快了安全价值的实现。
管理内部风险框架
越来越多的企业组织意识到内部风险是一个普遍的问题,传统的方法无法解决。事实上,根据Forrester数据显示,71%的安全决策者认为传统的数据损失处理方法是不可行的。内部风险是一个复杂而微妙的问题,这就是为什么基于政策的方法需要绝对的知识来标记所有有价值的数据和对所有威胁载体的准确预测,根本跟不上步伐。你不能清楚地阻止内部风险,你也不想这样做。相反,一种更聪明的方法旨在通过五个基本步骤来理解、衡量和管理内部风险。
(1) 识别:组织的数据在哪里,什么时候暴露在内部人员的风险之下?
你不能管理你看不到的东西。然而,传统的基于政策的数据安全工具只能找到你告诉他们要找到的东西,从而留下巨大而不断增长的盲点。内部风险管理的第一步是实施正确的工具和技术。重要的是,您可以监控风险三个维度的所有数据活动:所有文件(不仅是控制或分类的文件)、所有载体(网络和网络下的设备、云应用程序等)以及所有用户。
(2) 定义:组织不能接受哪些数据风险?
直到最近,风险容忍度的概念在数据安全领域几乎是一个异端邪说。现在,几乎所有的组织都承认,他们必须在一定程度上容忍内部风险,以实现在当今商业环境中生存和发展所需的敏捷性、速度和创新。一旦您对数据暴露有了全面的可见性和背景,您需要调整整个组织的内部风险容忍度--这样,您的安全团队就可以开始定义信任和不信任的活动和场景清单。同样,你也不想定义所有的可能性--但要注重代表内部风险领先指标的常见内部人员行动。
(3)优先级:组织最关心的数据什么时候风险最大?
定义内部人员风险容忍度的艺术为确定风险指标优先级的科学铺平了道路。也就是说,利用丰富的数据活动背景,三角测量内部人员风险的领先指标。有了正确的数据安全技术,您的安全团队将具有上下文的可视性,以便他们可以使用这些内部风险指标来优先考虑某些类型的风险--如源代码泄露、可疑文件类型不匹配、个人云存储和离职员工同步--而不是严重性较低的事件。
(4)自动化:如何最好地应对内部人员的风险?
就像一揽子封锁政策不能适用于所有用户和数据一样,对内部风险也没有普遍的回应。您的安全团队应与业务线领导合作,为您优先考虑的内部风险事件创建适当规模的响应。也许同样重要的是,您需要在不给安全团队带来太大负担的情况下,将技术落实到位,建立高度自动化的内部风险响应工作流程,结合一系列适合事件严重性的人力和技术响应。
(5)改进:正在做的事情是否真的有效?
这最后一步显然缺乏传统的基于政策的方法。内部风险范式承认,内部风险是不断发展的,将永远存在,不能完全阻止(不应)。这使得工具和流程得到充分实施,以衡量(定性和定量)、改进和优化您的整体内部风险情况--随着时间的推移,利用风险情报和学习变得更聪明、更好是非常重要的。
新范式:不妥协的数据安全
随着数字化的加速,内部数据风险也在增加。为了满足未来的工作需求,我们不能忽视对新数据安全范式的需求。安全团队需要有能力优先考虑最重要的风险,同时检查网络内外的所有数据活动,跨越所有载体和所有用户。为了实现这一目标,他们需要看到更深层次的背景,以区分合法工作中的风险活动。他们需要协调高度自动化和适当规模的响应。此外,最重要的是,他们需要致力于在不牺牲用户速度、合作和创新的情况下完成这一切,同时保护业务。