Важность решения проблемы защиты компьютерных данных теперь признается в деловом мире
Обновлено: 21.11.2024
Большая часть информации, хранящейся в электронном виде в Университете, является конфиденциальной финансовой, личной, медицинской и иной частной информацией. Несанкционированное распространение или доступ к данным и сети Университета является неэтичным и, возможно, незаконным. Личная ответственность может быть понесена независимо от того, была ли компрометирована преднамеренно или непреднамеренно.
Существует несколько законодательных требований к конфиденциальности, которым мы должны следовать (HIPPA, GBL, FERPA и т. д.), чтобы предотвратить несанкционированное распространение этой информации. Хотя выполнение приведенных ниже рекомендаций не гарантирует полного соответствия, они помогут, предоставляя убедительные доказательства наших усилий по обеспечению соблюдения. Ответственность за проектирование и администрирование университетской сети лежит на вас и зависит от того, будете ли вы придерживаться передовых методов обеспечения безопасности.
Целью этого документа не является определение того, что является конфиденциальным, а что нет. Скорее, есть ряд практик, в которые мы попали, которые являются открытым приглашением к несанкционированному доступу. Есть 10 простых изменений в поведении на работе, которые в значительной степени ограничат нашу уязвимость к несанкционированному доступу и распространению конфиденциальных данных.
Шаг 1. Используйте надежный уникальный пароль и никогда не сообщайте его
Ключом для доступа к сети является ваш пароль. Чтобы уменьшить вероятность того, что компьютер или другое лицо угадает ваш пароль, вы должны выбрать надежный пароль. Надежный пароль представляет собой комбинацию букв, цифр и символов, которая не является словом или общей фразой. Ваш пароль не должен быть словом из словаря или таким, который мог бы угадать кто-то, кто немного знает вас лично (например, имя вашего ребенка или номер вашего телефона). Кроме того, пароль, который вы используете для доступа к ресурсам Университета, должен отличаться от тех, которые вы используете для доступа к ресурсам за пределами Университета, и, что наиболее важно, вы никогда не должны никому сообщать свой пароль или где-либо записывать его.
Технические специалисты службы поддержки университетов, в том числе сотрудники службы поддержки USM, никогда не будут спрашивать у вас пароль. Один из наиболее распространенных приемов кражи паролей, используемых хакерами и похитителями информации, заключается в том, чтобы позвонить по телефону и выдать себя за сотрудника службы поддержки компании или сетевого администратора. Не поддавайтесь на это. Если вы получили звонок или электронное письмо с запросом пароля, вы должны отказаться предоставить его и немедленно сообщить об инциденте в службу поддержки (780-4029 или usm-helpdesk@maine.edu).
В ситуациях, когда вы инициировали звонок в службу поддержки USM, технический специалист, помогающий вам, может установить временный пароль для вашей учетной записи для их использования. Они сделают это только с вашего согласия и только в том случае, если другие меры по устранению неполадок не дали результата, и использование ваших учетных данных позволит техническому специалисту проверить проблему из первых рук. После завершения устранения неполадок вам будет необходимо немедленно изменить пароль.
Шаг 2. Не позволяйте другому лицу использовать вашу учетную запись пользователя
Ваша учетная запись пользователя представляет все вычислительные ресурсы, к которым у вас есть доступ. Позволяя кому-то другому использовать вашу учетную запись пользователя, вы даете ему доступ к ресурсам, на которые у него может не быть разрешения. Все, что они могут сделать, в конечном итоге будет вашей ответственностью.
Шаг 3. Используйте сетевые диски для конфиденциальных или важных файлов
Все файлы, содержащие конфиденциальную информацию или важные для работы Университета, должны храниться на сетевом диске, но только до тех пор, пока они необходимы. Обычно это диски с более высокими буквами в алфавите выше «F:\».
Зачем использовать сетевые диски?
- Безопасность. Любой, у кого есть физический доступ к компьютеру, может так или иначе получить доступ к файлам, хранящимся на локальных дисках компьютера — от A:\ до E:\.
- Защита данных. Если компьютер «зависает», все данные на локальных дисках могут быть потеряны. Файлы, хранящиеся на сетевых дисках, резервируются каждую ночь. В случае потери данных из-за какой-либо аварии существует гораздо большая вероятность того, что данные можно будет восстановить до относительно недавнего состояния.
Шаг 4. Заблокируйте компьютер, если вы не работаете в течение дня
Самый надежный пароль в мире не будет иметь никакого значения, если вы отойдете от своего рабочего места хотя бы на несколько минут и оставите компьютер включенным и разблокированным. Для компьютеров под управлением Windows 2000 и Windows XP одновременно нажмите клавиши Ctrl-Alt-Del и выберите Заблокировать рабочую станцию. Когда вы вернетесь к своему рабочему столу, вам нужно будет ввести свой пароль Novell, чтобы разблокировать компьютер. Для рабочих станций Mac, использующих OS X, вы можете защитить паролем свою учетную запись в разделе «Системные настройки», чтобы она активировалась каждый раз, когда компьютер переходит в спящий режим.
Когда вы находитесь за своим компьютером, вы должны обустроить свое рабочее место так, чтобы ваш экран не могли увидеть случайные посетители.Это может уменьшить вероятность непреднамеренного просмотра личной или конфиденциальной информации.
Шаг 5. Выключайте компьютер перед уходом на работу
Каждый вечер, уходя из офиса, выключайте компьютер. Выключенный компьютер не может быть заражен или скомпрометирован атаками с других компьютеров.
Шаг 6. Используйте шифрование для просмотра конфиденциальных данных и обмена ими
Вы всегда должны использовать шифрование для просмотра веб-сайтов, содержащих конфиденциальные данные. Вы можете узнать, использует ли веб-сайт шифрование, если веб-адрес начинается с «https».
Если вы создали веб-сайт, собирающий конфиденциальные данные, вы должны быть уверены, что этот сайт заставляет пользователей использовать шифрование при отправке данных и что отправленные данные хранятся в безопасном месте.
Помните, что электронная почта не шифруется, поэтому ее нельзя использовать для обмена конфиденциальными данными. Если вам необходимо передать конфиденциальные данные по электронной почте, информацию следует отправить в защищенном паролем zip-файле. Сообщите получателю пароль лично или по телефону, а не по электронной почте. Дополнительные предупреждения см. в шаге 8.
Наконец, помните, что при использовании беспроводных подключений они небезопасны. Любые данные, к которым вы можете получить доступ, могут быть перехвачены кем-то с использованием аналогичной технологии. При доступе к данным и информации, которые являются конфиденциальными, вы должны использовать только жесткое соединение с вашим компьютером.
Шаг 7. Не устанавливайте неутвержденное программное обеспечение
Только программы, находящиеся в меню Пуск > Приложения USM > Установить, одобрены для установки на компьютеры Университета. Если вы считаете, что вам нужно установить часть программного обеспечения, которого там нет, вы должны сначала получить одобрение персонала DoIT.
Не устанавливайте бесплатное программное обеспечение, найденное в Интернете. Эти программы часто представляют большую угрозу безопасности. Чтобы избежать этого, будьте очень осторожны при серфинге в Интернете со страницами, которые предлагают что-либо бесплатно, просто «щелкнув здесь». Если во время работы в Интернете отображаются неожиданные всплывающие сообщения, нажмите «X» в правом верхнем углу сообщения, чтобы закрыть его.
Шаг 8. Подумайте, прежде чем открывать вложения электронной почты
С подозрением относитесь к электронным письмам с вложениями, которые вы не ожидали получить, даже если они кажутся отправленными кем-то, кого вы знаете. Если кажется, что оно от кого-то, кого вы знаете, прежде чем открывать его, свяжитесь с ним и подтвердите, что он намеревался отправить вам вложение. Дополнительные предупреждения см. в шаге 6.
Шаг 9. Запланируйте антивирусную проверку компьютера
Большинство из нас еженедельно проводят собрания сотрудников. В это время ваш компьютер обычно бездействует в вашем офисе. Это идеальное время, чтобы запланировать запуск антивирусной проверки вашего компьютера. Они могут работать, когда ваш компьютер заблокирован. Если обнаружены какие-либо вирусы, сообщите о них в службу поддержки.
Шаг 10. Будьте осторожны при использовании Internet Explorer
Мы считаем, что лучше всего использовать Internet Explorer только для тех веб-сайтов, которым он необходим (например, PeopleSoft), и использовать другой браузер для всех остальных действий в Интернете. Веб-браузер Internet Explorer, поставляемый с Microsoft Windows, почти каждый месяц обнаруживает новую уязвимость в системе безопасности. Хотя мы применяем исправления для этих недостатков как можно быстрее, DoIT рекомендует использовать Mozilla Firefox, доступный через «Пуск» > «Приложения USM» > «Установить» > «Веб-браузер Firefox».
Университет Южного штата Мэн
Член системы Университета штата Мэн
PO Box 9300, Portland, ME 04104
1-800-800-4876
Безопасность данных — это практика защиты цифровой информации от несанкционированного доступа, повреждения или кражи на протяжении всего ее жизненного цикла. Эта концепция охватывает все аспекты информационной безопасности, от физической безопасности оборудования и устройств хранения до административного контроля и контроля доступа, а также логической безопасности программных приложений. Он также включает организационные политики и процедуры.
При правильном применении надежные стратегии защиты данных защитят информационные активы организации от действий киберпреступников, а также от внутренних угроз и человеческих ошибок, которые сегодня остаются одной из основных причин утечек данных. Безопасность данных включает в себя развертывание инструментов и технологий, которые улучшают видимость организации в отношении того, где находятся ее критически важные данные и как они используются. В идеале эти инструменты должны быть способны применять такие средства защиты, как шифрование, маскирование данных и редактирование конфиденциальных файлов, а также автоматизировать отчетность для упрощения проверок и соблюдения нормативных требований.
Бизнес-задачи
Цифровая трансформация коренным образом меняет все аспекты работы и конкуренции современных компаний.Огромный объем данных, которые предприятия создают, обрабатывают и хранят, растет, что приводит к увеличению потребности в управлении данными. Кроме того, вычислительные среды стали более сложными, чем раньше, и обычно охватывают общедоступное облако, корпоративный центр обработки данных и многочисленные периферийные устройства, начиная от датчиков Интернета вещей (IoT) и заканчивая роботами и удаленными серверами. Эта сложность создает расширенную поверхность атаки, которую сложнее отслеживать и защищать.
В то же время растет осознание потребителями важности конфиденциальности данных. В связи с растущим общественным спросом на инициативы по защите данных недавно было принято несколько новых правил конфиденциальности, в том числе Европейский общий регламент по защите данных (GDPR) и Калифорнийский закон о защите прав потребителей (CCPA). Эти правила дополняют давние положения о безопасности данных, такие как Закон о переносимости и подотчетности медицинского страхования (HIPAA), защищающий электронные медицинские записи, и Закон Сарбейнса-Оксли (SOX), защищающий акционеров публичных компаний от бухгалтерских ошибок и финансового мошенничества. Поскольку максимальные штрафы исчисляются миллионами долларов, у каждого предприятия есть сильный финансовый стимул для обеспечения соблюдения требований.
Ценность данных для бизнеса никогда не была выше, чем сегодня. Потеря коммерческой тайны или интеллектуальной собственности (ИС) может повлиять на будущие инновации и прибыльность. Таким образом, надежность становится все более важной для потребителей: 75 % опрошенных сообщают, что не будут покупать товары у компаний, которым не доверяют в вопросах защиты своих данных.
Типы защиты данных
Шифрование
Используя алгоритм преобразования обычных текстовых символов в нечитаемый формат, ключи шифрования шифруют данные, чтобы их могли прочитать только авторизованные пользователи. Решения для шифрования файлов и баз данных служат последней линией защиты конфиденциальных томов, скрывая их содержимое с помощью шифрования или токенизации. Большинство решений также включают функции управления электронными ключами.
Стирание данных
Более безопасное, чем стандартное стирание данных, стирание данных использует программное обеспечение для полной перезаписи данных на любом устройстве хранения. Он проверяет, что данные невозможно восстановить.
Маскирование данных
Маскирование данных позволяет организациям создавать приложения или обучать людей с использованием реальных данных. При необходимости он маскирует личную информацию (PII), чтобы разработка могла происходить в средах, соответствующих требованиям.
Отказоустойчивость данных
Отказоустойчивость определяется тем, насколько хорошо организация выдерживает любые сбои или восстанавливается после них — от проблем с оборудованием до перебоев в подаче электроэнергии и других событий, влияющих на доступность данных (PDF, 256 КБ). Скорость восстановления имеет решающее значение для минимизации последствий.
Возможности и решения для обеспечения безопасности данных
Инструменты и технологии для обеспечения безопасности данных должны решать растущие проблемы, связанные с защитой современных сложных, распределенных, гибридных и/или мультиоблачных вычислительных сред. К ним относятся понимание того, где находятся данные, отслеживание того, кто имеет к ним доступ, а также блокирование действий с высоким риском и потенциально опасных перемещений файлов. Комплексные решения для защиты данных, которые позволяют предприятиям применять централизованный подход к мониторингу и применению политик, могут упростить задачу.
Инструменты обнаружения и классификации данных.
Конфиденциальная информация может находиться в репозиториях структурированных и неструктурированных данных, включая базы данных, хранилища данных, платформы больших данных и облачные среды. Решения для обнаружения и классификации данных автоматизируют процесс выявления конфиденциальной информации, а также оценки и устранения уязвимостей.
Мониторинг данных и файловой активности.
Инструменты мониторинга файловой активности анализируют шаблоны использования данных, позволяя специалистам по безопасности видеть, кто получает доступ к данным, обнаруживать аномалии и выявлять риски. Динамическая блокировка и оповещение также могут быть реализованы для аномальных моделей активности.
Инструменты оценки уязвимостей и анализа рисков.
Эти решения упрощают процесс обнаружения и устранения уязвимостей, таких как устаревшее программное обеспечение, неправильные настройки или слабые пароли, а также могут выявлять источники данных с наибольшим риском раскрытия.
Автоматизированная отчетность о соответствии
Комплексные решения для защиты данных с возможностями автоматической отчетности могут стать централизованным хранилищем журналов аудита соответствия для всего предприятия.
Стратегии безопасности данных
Комплексная стратегия защиты данных включает людей, процессы и технологии. Создание надлежащих средств контроля и политик — это вопрос организационной культуры в такой же степени, как и развертывание правильного набора инструментов. Это означает, что информационная безопасность должна стать приоритетом во всех областях предприятия.
Физическая безопасность серверов и пользовательских устройств.
Независимо от того, хранятся ли ваши данные локально, в корпоративном центре обработки данных или в общедоступном облаке, вам необходимо убедиться, что объекты защищены от злоумышленников и имеют адекватную приняты меры пожаротушения и климат-контроль. Поставщик облачных услуг возьмет на себя ответственность за эти защитные меры от вашего имени.
Управление доступом и контроль
Принцип «доступа с минимальными правами доступа» должен соблюдаться во всей вашей ИТ-среде. Это означает предоставление доступа к базе данных, сети и административной учетной записи как можно меньшему количеству людей и только тем, кому это абсолютно необходимо для выполнения своей работы.
Подробнее об управлении доступом
Безопасность приложений и исправление
Все программное обеспечение должно быть обновлено до последней версии как можно скорее после выпуска исправлений или новых версий.
Резервные копии
Поддержание работоспособных, тщательно протестированных резервных копий всех важных данных является основным компонентом любой надежной стратегии защиты данных. Кроме того, на все резервные копии должны распространяться те же физические и логические средства контроля безопасности, которые регулируют доступ к первичным базам данных и основным системам.
Обучение сотрудников
Обучение сотрудников важности передовых методов обеспечения безопасности и гигиены паролей, а также обучение их распознаванию атак с использованием методов социальной инженерии превращает их в «человеческий брандмауэр», который может играть решающую роль в защите ваших данных. р>
Мониторинг и контроль безопасности сети и конечных точек
Внедрение комплексного набора инструментов и платформ для управления угрозами, обнаружения и реагирования на них в локальной среде и облачных платформах может снизить риски и снизить вероятность взлома.< /p>
Тенденции безопасности данных
ИИ
ИИ расширяет возможности системы защиты данных, поскольку он может обрабатывать большие объемы данных. Когнитивные вычисления, подмножество ИИ, выполняют те же задачи, что и другие системы ИИ, но делают это путем имитации мыслительных процессов человека. В сфере безопасности данных это позволяет быстро принимать решения в случае крайней необходимости.
Безопасность мультиоблачной среды
По мере расширения возможностей облачной среды понятие безопасности данных расширяется. Теперь организациям нужны более сложные решения, поскольку они ищут защиту не только для данных, но и для приложений и собственных бизнес-процессов, которые выполняются в общедоступных и частных облаках.
Quantum
Революционная технология, квантовая обещает экспоненциально изменить многие традиционные технологии. Алгоритмы шифрования станут многограннее, сложнее и безопаснее.
Как взаимодействуют безопасность данных и другие аспекты безопасности
Достижение безопасности данных корпоративного уровня.
Ключом к применению эффективной стратегии защиты данных является применение подхода, основанного на оценке рисков, для защиты данных в масштабах всего предприятия. В начале процесса разработки стратегии, принимая во внимание бизнес-цели и нормативные требования, заинтересованные стороны должны определить один или два источника данных, содержащих наиболее конфиденциальную информацию, и начать с них. После создания четких и жестких политик для защиты этих ограниченных источников они могут распространить эти передовые методы на остальные цифровые активы предприятия в порядке приоритетности. Реализованные возможности автоматизированного мониторинга и защиты данных могут значительно упростить масштабирование передовых практик.
Безопасность данных и облако
Для защиты облачных инфраструктур требуется подход, отличный от традиционной модели размещения средств защиты по периметру сети. Для этого требуются комплексные средства обнаружения и классификации облачных данных, а также постоянный мониторинг активности и управление рисками. Инструменты облачного мониторинга могут располагаться между решением «база данных как услуга» (DBaaS) облачного провайдера и отслеживать передаваемые данные или перенаправлять трафик на существующую платформу безопасности. Это позволяет единообразно применять политики независимо от того, где находятся данные.
Безопасность данных и BYOD
Использование персональных компьютеров, планшетов и мобильных устройств в корпоративных вычислительных средах растет, несмотря на вполне обоснованные опасения лидеров по безопасности относительно рисков, которые может представлять эта практика. Один из способов повысить безопасность использования собственных устройств (BYOD) — потребовать от сотрудников, использующих личные устройства, установить программное обеспечение безопасности для доступа к корпоративным сетям, тем самым улучшив централизованный контроль и прозрачность доступа к данным и их перемещения. Другая стратегия заключается в том, чтобы создать в масштабах всего предприятия мышление, ориентированное на безопасность, поощряя сотрудников использовать надежные пароли, многофакторную аутентификацию, регулярные обновления программного обеспечения и резервные копии устройств, а также шифрование данных, обучая их ценности этих действий. р>
Метаданные придают данным контекст, а во время таких кризисов, как война на Украине, когда трудно понять, каким новостям доверять, контекст.
Используя платформу поставщика BI, фирма, занимающаяся маркетингом и взаимодействием с клиентами в сфере здравоохранения, увеличила скорость анализа и увеличила число клиентов .
Организации, стремящиеся максимизировать использование BI, могут рассмотреть возможность создания группы бизнес-аналитики, состоящей из четырех ключевых ролей: .
Считаете, что готовы к сертификационному экзамену AWS Certified Solutions Architect? Проверьте свои знания, ответив на эти 12 вопросов и.
Amazon заявила, что ее система мониторинга микроавтобусов предназначена исключительно для обеспечения безопасности водителей. Но многие отраслевые эксперты обеспокоены этим.
Amazon хотела бы укрепить свое глобальное присутствие, но гигант электронной коммерции сегодня сталкивается с препятствиями и проблемами, которых у него не было.
Генеральный директор Sitecore Стив Цикакис вступил во владение во время пандемии — на фоне стремительного роста — и переосмыслил компанию как цифровую.
Организации, планирующие миграцию контента, должны проверить целостность файлов и убедиться, что файлы не были повреждены при перемещении. Файл .
Успешное развертывание ECM требует планирования. Менеджеры контента должны учитывать жизненный цикл контента своей организации, безопасность .
Oracle планирует приобрести Cerner в рамках сделки на сумму около 30 млрд долларов. Второй по величине поставщик электронных медицинских карт в США может вдохнуть новую жизнь .
Верховный суд постановил 6-2, что API-интерфейсы Java, используемые в телефонах Android, не подпадают под действие американского закона об авторском праве.
В этом руководстве рассматриваются возможности Oracle Autonomous Database для пользователей Oracle и вопросы, которые следует учитывать организациям.
Многие компании могут извлечь выгоду из возможностей аналитики, а организации, использующие SAP ECC, по-прежнему могут создавать эффективные .
Внедрение S/4HANA сопряжено со значительным риском, но также предлагает реальную возможность цифровой трансформации. Вот .
Вот объяснение основных различий между SAP Greenfield и Brownfield, а также то, что третий, гибридный подход может сделать для S.
Хороший дизайн базы данных необходим для удовлетворения потребностей обработки в системах SQL Server. На вебинаре консультант Коэн Вербек предложил .
Базы данных SQL Server можно переместить в облако Azure несколькими способами. Вот что вы получите от каждого из вариантов .
В отрывке из этой книги вы познакомитесь с методами LEFT OUTER JOIN и RIGHT OUTER JOIN и найдете различные примеры создания SQL.
Большие данные (БД) с их потенциалом получения ценной информации для улучшения процесса принятия решений в последнее время вызывают значительный интерес как у ученых, так и у практиков. Аналитика больших данных (BDA) становится все более популярной практикой, которую многие организации внедряют с целью создания ценной информации из BD. Процесс аналитики, в том числе развертывание и использование инструментов BDA, рассматривается организациями как инструмент повышения операционной эффективности, хотя он имеет стратегический потенциал, обеспечивает новые потоки доходов и дает конкурентные преимущества перед конкурентами. Тем не менее, существуют различные типы аналитических приложений, которые следует учитывать. Поэтому, прежде чем поспешно использовать и покупать дорогостоящие инструменты BD, организациям необходимо сначала понять ландшафт BDA. Учитывая значительный характер BD и BDA, в этом документе представлен современный обзор, в котором представлен целостный взгляд на проблемы BD и методы BDA, теоретизированные/предлагаемые/используемые организациями, чтобы помочь другим понять эту ситуацию с целью принятия обоснованных инвестиционных решений. При этом проводится систематический анализ и обобщение существующих исследований, опубликованных в области BD и BDA. В частности, авторы пытаются ответить на следующие два основных вопроса: Вопрос 1. Какие существуют типы проблем БР, теоретизируемых/предлагаемых/с которыми сталкиваются организации? и Вопрос 2. Какие существуют типы проблем БР? теоретических/предлагаемых/используемых методов BDA для преодоления проблем BD?. Этот систематический обзор литературы (SLR) проводится путем наблюдения и понимания прошлых тенденций и существующих моделей/тем в области исследований BDA, оценки вклада, обобщения знаний, тем самым определяя ограничения, последствия и потенциальные направления дальнейших исследований для поддержки академического сообщества в изучение тем/моделей исследований. Так, для отслеживания реализации стратегий БР используется метод профилирования для анализа статей (опубликованных в англоязычных рецензируемых журналах в период с 1996 по 2015 г.), извлеченных из базы данных Scopus. Анализ, представленный в этой статье, выявил соответствующие исследования BD, которые внесли концептуальный и эмпирический вклад в расширение и накопление интеллектуального богатства BDA в области технологий и управления организационными ресурсами.
Ключевые слова
Рекомендуемые статьи
Ссылки на статьи
Показатели статей
Читайте также: