在EFSS中管理您的业务数据的控件类型

EFSS.数据控件

2015年,有38% 更多的安全事件 比2014年,平均水平 每个被盗记录的成本 –包含敏感和机密数据–154美元(医疗保健行业的支付最多),每份记录363美元)。更糟糕的是,即使52%的IT专业人员认为,当年将举行一个成功的网络攻击,只有29%的SMB(少于2014年),使用标准工具 修补和配置 防止这些攻击。

云中数据安全性和数据泄露的后果不能夸大。看看这些统计数据显示数据不安全的效果和云中的数据违规的效果是一条没有业务想要采取的道路。所有上述统计数据都展示了云中缺乏对数据的控制,因此我们将首先查看谁控制云中的数据,然后如何在EFS中管理业务数据。

谁控制云中的数据?

很明显,您的IT部门不知道谁控制云中的数据,如云中的数据控制上的PersPecsys调查的参与者所透露。根据结果​​,48%的IT专业人员不相信云提供商将保护其数据,57%不确定敏感数据存储在云中的位置。

此问题也与数据所有权密切相关。一旦数据所有权发生变化,我们预计控制用户的数据级别的变化就会对其数据进行更改。引用丹格雷 数据所有权的概念:“所有权取决于数据的性质,并创建的地方”。用户创建的数据在上传到云之前可能会受版权法,而云中创建的数据会改变数据所有权的整个概念。难怪这件事上有混淆。

尽管存在诸如存储在云中的数据的一半或没有控制的挑战,但是存在我们可以使用的技术来控制EFS中的业务数据,因此阻止未经授权的访问和安全漏洞。

EFSS.中业务数据的数据控制类型

 

输入验证控件

验证控制很重要,因为它可确保进入系统或应用程序的所有数据都准确,完整且合理。验证控制的一个重要领域是供应商评估。例如,提供的供应商能够满足客户的期望吗?关于控制以确定数据完整性,安全和遵守行业规定以及客户政策。最好使用问卷形式的异地审计进行此活动。通过确定供应商系统生命周期流程,您的团队可以决定EFSS供应商是否值得进一步考虑。此外,调查问卷是根据风险评估来确定是否将进行现场评估的基础。如果执行,现场审计的范围将取决于EFSS供应商提供的服务类型。

还应评估和分析服务级别协议,以定义EFSS供应商和用户的期望。通常,这也进行了措施,以确保呈现的服务符合行业规定。此外,我们必须确保EFSS提供商在服务级别协议中包含以下内容。

  • 安全
  • 备份和恢复
  • 事件管理
  • 事件报告
  • 测试
  • 提供的服务质量
  • 合格人员
  • 警报和升级程序
  • 关于数据所有权以及供应商和客户职责的清晰文件
  • 对性能监测方面的期望

处理控制器

处理控制可确保在应用程序中完全和准确地处理数据,通过定期监视模型,并在处理时查看系统结果。如果没有完成这一点,则由年龄或损坏引起的设备的小变化将导致错误的模型,这将被反映为过程的错误控制移动。

包括备份和恢复控制

处理控制可确保通过定期监控模型以及在处理时查看系统的应用程序中完全且准确地处理数据。如果没有完成这一点,则由年龄或损坏引起的设备的小变化将导致错误的模型,这将被反映为过程的错误控制移动。

身份和访问管理

通常,身份和访问管理(IAM)允许云管理员授权可以对特定资源采取行动的人员,使云用户控制和管理云资源所需的可见性。虽然这似乎很简单,技术进步使云中的身份验证,授权和访问控制的过程复杂化。

在过去几年中,IAM更容易处理,因为员工必须登录Office中的一台桌面计算机,以访问Internet中的任何信息。目前,Microsoft的Active Directory和轻量级目录访问协议(LDAP)是IAM工具不足。用户访问和控制必须从桌面计算机扩展到个人移动设备,对其构成挑战。例如,如在Forrester研究报告中所述,个人平板电脑和移动设备正在65%的组织中使用,员工30%的员工在这些设备上提供自己的软件,以便在工作中使用,而无需批准。难怪的是,Gartner在2013年预测,云中的身份和访问管理将是在仅2年的基于云的模型中的追捧服务之一。

通过这种理解,重要的是创建有效的IAM,而不会失去控制内部配置资源和应用程序的控制。通过使用威胁感知的身份和访问管理功能,应该清除谁在做什么,他们的角色是什么以及他们想要访问的东西。此外,用户身份(包括外部身份)必须与后端目录绑定,并登录功能必须单身,因为多个密码往往会导致不安全的密码管理实践。

结论

EFSS.供应商的简单保证您可以控制云中的业务数据是不够的。有一些技术应该采用,以确保您具有显着的数据控制水平。如上所述,确保您有一个有效的身份和访问管理系统,具有处理和验证控件以及业务数据备份和恢复选项。我们尚未讨论的其他重要控件包括文件控件,数据销毁控制和更改管理控件。

作者:戴维斯搬运工

图片礼貌:Jannoon028,Freedigital照片目录