大多数组织忽略的3件事

东方烁乐
导读 如果您正在阅读本文,无疑您会认真对待数据安全。您的公司甚至可能拥有工业级防火墙、坚如磐石的数据治理规则、专业的安全团队以及加密等数...

如果您正在阅读本文,无疑您会认真对待数据安全。您的公司甚至可能拥有工业级防火墙、坚如磐石的数据治理规则、专业的安全团队以及加密等数据保护名单。你对此感觉良好。你晚上睡得很好。

但是你应该吗?很抱歉在这里毁了你的睡眠,但事实是,大多数公司都忽略了三个主要的数据保护风险,这可能是有点安全(也许!)和几乎密封之间的区别。

这三个安全挑战是不受信任的计算程序、未经验证的输入和未经授权的数据移动。让我们分解它们。

1) 不受信任的计算程序

因此,您已授予人员、团队和公司访问您的第一方数据的权限。有人可以进来并开始处理吗?

你怎么知道,无论他们是内部的还是外部的,他们正在使用他们说要使用的程序和算法,而不是更冒险的东西?如果你没有注册它,如果你没有一些证据证明它是同一个,你就不知道到底发生了什么。这纯粹是信任——在数据方面,我们生活在一个零信任的世界。

每个网络、每个设备、每个人和每个服务都需要不被信任,直到它证明自己。您需要的是适合零信任世界的零信任技术。

这些是什么?你怎么知道某人的计算机程序、算法或分析程序是安全的?零信任技术可以完全自信地验证,例如使用“指纹”,可以将商定的代码与正在执行的代码进行实时比较。(顺便说一句,在最近的乌克兰网络攻击中,未能做到这一点会损害计算机。)否则,您无法直视您的合规团队或法律团队并说:“是的,我知道——权威!——我们的数据始终以正确的方式使用。”

2) 未经验证的输入

当您处理第一方数据(或任何敏感数据)时,您需要绝对确定只有您允许访问的数据才会被访问。

有一些工具可以做到这一点。例如,基于访问控制的工具,无论是在本地还是在Snowflake 等基于云的仓库中,都可以提供帮助。但在许多情况下,即使使用最好的旧工具,您也可以访问整个数据集,而不必只访问您需要的数据。大数据世界中真正需要安全的创新是能够限制对数据集中某些数据的访问。

您需要一种绝对可靠的验证技术,不仅在最初,而且在整个数据的处理和使用过程中——这样您不仅可以了解某人是如何获得它的,还可以了解它发生了什么。

例如,如果您的一位数据科学家想要尝试对另一列进行交叉索引或排序怎么办?在每个人都有善意的世界里,这似乎没问题,但如果数据科学的人或女孩不是那么善良怎么办?如果突然之间关于社会安全号码、信用卡号码、种族、性别、家庭收入和性取向的超级敏感数据被故意(或无意地)用于更邪恶的目的怎么办?

这些都是真实发生的事情,至关重要的是,在保护第一的世界中,您不仅能够减少发生的可能性,而且能够消除发生这种情况的可能性。

3) 未经授权的数据移动或挖掘

数据科学家一直在利用数据集发挥创造力;它是工作描述的一部分。但是如果没有适当的控制,事情就会变得一团糟。

就像金融服务业的人说:“我只是要把这笔钱转到戴夫的账户几天,因为我做错了事,需要弥补。我保证稍后我会把它移回戴安娜的账户。她永远不会知道。” 这永远行不通,在当今的监管环境中,它为人们创造了入狱的机会,也让公司在 CNN 上陷入困境。当没有适当的控制措施时,这种快速而松散的行为一直在数据科学中发生。

您需要的是能够控制对非正式调用和数据查询的访问。这对数据分析师来说是一个额外的步骤,但它也是您需要的保护。它带来了更多的纪律,可以说是一个更好的流程和更多的问责制。如果您经营一家公司,无论是在广告技术还是其他领域,您都需要能够明确、始终如一地解决这个问题。

虚拟魔法

好消息是技术可以解决所有这三个问题。现在有多种方法可以在不影响您的业务的情况下化解这三种安全风险,而且您的数据使用量仍然在增长。机器学习等新技术可以识别计算程序。支持信任的安全飞地——也称为“机密计算”——可以保证数据处理的安全。

数字合同等新的控制和处理监控技术可以提取最好的法律合同和技术参数,包括算法的“指纹”,并通过 24×7 全天候监控处理和报告异常情况,使输入验证和数据移动更加安全——以及实时停止数据使用。

添加提供审计质量数据的功能,您最终能够关闭数据风险并向您的律师和合规监督员证明。更好的是,所有这些都消除了将您高度策划和高度安全的数据投入工作所带来的风险。

然后你真的可以在晚上睡个好觉。

标签:

版权声明:本文由用户上传,如有侵权请联系删除!