您还未登录! 登录 | 注册 | 帮助  

您的位置: 首页 > 软件开发专栏 > 网络/安全 > 正文

CISO注意:保留数据记录的“七宗罪”

发表于:2021-04-24 作者:晶颜123 来源:FreeBuf

对于受到越来越多法规和法律义务约束的企业组织而言,保留数据记录既是生活中的既定事实,也是日渐棘手的问题。本文将介绍保护数据和文档安全的最糟(以及最佳)做法。

运动赛场上的记录是用来突破的,而企业的数据记录却始终被保留着,直至它们彻底失效为止。随着合规性要求的迅速增加,企业正面临着一场“数据海啸”,当前和过时的数据记录铺天盖地,完全压垮了对其进行安全存储、跟踪、管理并最终销毁所需的人力和IT资源。

Deloitte风险与金融咨询公司的负责人Sean Riley表示,每个记录类别都有一个保留期限,该保留期限由公司政策、业务风险承受能力、外部法律建议、法规要求和法律义务等多方因素共同定义。一些记录只需要保存三年,而其他一些则可能出于商业价值或法律原因需要无限期保存。

Deloitte风险与金融咨询公司另一位负责人Dan Frank补充道,数据记录保留实际上会导致数据破坏。大多数组织非常擅于保留数据。CISO的主要责任是确保组织具有安全的数据和记录销毁能力,以及相应的技术,以在适当的情况下安全地删除数据和记录。保存过时的记录可能会导致时间浪费和不必要的混乱,因为研究人员在搜索实际需要的记录时会发现自己正在寻找过时的文件。未能正确整理记录还会增加存储和备份成本。

由于CISO正面临着越来越多的法定记录库存,并且难以决定要保留或丢弃哪些文档和数据,因此他们很容易成为下述数据保留“七宗罪”的受害者:

数据保留“七宗罪”

1. 忽略最新的和不断发展的记录保留要求

最近的隐私法规,例如欧盟的《通用数据保护法规》(GDPR)和《加州消费者隐私法案》(CCPA),极大地增加了对更深入、更强大和更具包容性的数据治理的需求。为了在当今的隐私、法律和法规环境中生存,企业组织必须对其拥有哪些数据?所处位置?应该如何使用?与谁共享?是否属于出售数据?以及必须保留多久等问题有一个非常全面的了解。如果CISO不先了解组织所拥有的数据类型和数量以及其所处位置,谈何帮助组织实施全面的记录保留时间表和策略?

2. 忽略适当定义数据保留目标和职责

数据保留和数据治理程序不是一次性项目。一个功能完整且可靠的程序需要人员、流程和技术来支持它们,就像任何其他公司职能(例如数据隐私或信息安全)一样。

管理着组织不善的数据保留程序的CISO往往会与内部团队脱节,这有助于推动降低风险的结果。当CISO让所有利益相关者(包括法律、隐私、网络安全、IT和记录管理团队)参与制定和实施记录保留协议和程序时,其将为组织提供最佳服务。

无组织无意识的CISO也容易错过日常业务过程中不时出现的主要数据管理改进机会。记住,内部系统的升级、迁移以及外部事件(例如资产剥离和收购)可以为实施数据管理改进策略提供时机。

3. 无法完全了解CISO在记录保留中的作用

尽管律师、CIO和CDO通常负责建立基本的记录保留策略和时间表,但CISO在记录管理过程中同样发挥着核心作用,尤其是在保存和提供可用于支持安全调查的数据,以及可用于证明数据完整性的监管链证据等方面。除此之外,信息安全领导者还必须能够证明事件相关性,以满足法院的“不可抵赖性”要求,并提供事件历史记录,以确定环境中事件的停留时间。最后,CISO应该负责(提交)与独立审计有关的报告……以及法律和法规义务。

4. 对数据生命周期元素缺乏全面的了解

一些CSO对数据生命周期中涉及的各种元素缺乏全面的了解。结果,关键数据生命周期元素经常被忽略或被错误地使用。

了解处理活动的确切名称和描述、流程所有者、数据处理器以及业务目的和合法性只是挑战的一部分。加上与处理活动相关联的资产以及它们的地理位置,还有很多元数据需要分析。即便元数据正确,也必须要有专人进行初始分析,这并不是传统的安全技能集。

5. 完全信任自动化记录管理解决方案

记录自动化可以是一种非常有用且节省时间的技术。不幸的是,它同时也是一个非常复杂的工具,很容易导致错误的记录保留或销毁决策,尤其是在配置不当或使用不当的时候。对于每个用例而言,理解是什么触发了自动化流程的变更——例如法律保留、税务审计保留以及法规变更——是一件非常困难的事情。

无论是手动记录管理还是自动化配置过程中,人类仍需要发挥重要作用。与监管利益相关者就他们的目标和定期清除进行双向沟通至关重要。明确能够在内部和外部搜索和操纵数据的数据管理员同样至关重要。

6. 忽略保留战术性日志数据

这种疏忽可能会特别致命,因为如果必须对重大漏洞进行分类或解决其他类型的重大安全事件,调查人员可能需要回溯历史数据才能发现事件的根源所在。要知道,发现违规事件的根源或是损害的程度,在很大程度上都要依赖回溯流量和其他日志数据,以明确攻击者的攻击路径以及执行的相关技术。缺乏对战术性日志数据的访问,就无法准确定位发生攻击的确切时间,以及攻击者在此过程中所遵循的流程、技术和策略。

7. 未能定期检查当前记录保留期限是否仍然有效

如今,监管形势正在不断变化,每当法规或法律要求变更时,CISO需要做好准备以快速地调整记录保留期限。如果本该清除的记录继续保留着,或是需要保留的记录自动清除掉了,都可能会导致严重的财务和诉讼后果。对保留期限进行严格监督,这一点至关重要。

除此之外,安全专家还敦促CISO必须准确监控管理层和员工如何访问和处理记录。要知道,无论书面记录保留政策多么完美,如果人们不遵守该政策,一切将毫无意义。