數(shù)據(jù)泄露事件屢屢見諸報(bào)端，因此客戶和企業(yè)領(lǐng)導(dǎo)者都可能擔(dān)心他們的企業(yè)在客戶的個(gè)人身份信息 (PII) 保護(hù)方面做得不夠。在當(dāng)今混亂的經(jīng)濟(jì)環(huán)境中，威脅格局堪憂，企業(yè)可以采用哪些方法來更好地保護(hù)增加的 PII 數(shù)據(jù)流呢？

在一些情況下，企業(yè)無法正確地存儲(chǔ)數(shù)據(jù)。還有一些情況，企業(yè)沒有采取充分的措施。數(shù)據(jù)泄露的后果遠(yuǎn)遠(yuǎn)不止金錢損失。數(shù)據(jù)泄露對組織聲譽(yù)和客戶信心的損害還可能會(huì)損害企業(yè)利潤。更復(fù)雜的是，許多組織經(jīng)常會(huì)出于營銷或其他目的與其他公司共享用戶數(shù)據(jù)，進(jìn)而引發(fā)更多 PII 泄露的“完美風(fēng)暴”。

為什么如此難以保護(hù) PII 的安全？

PII 是指可用于識(shí)別特定個(gè)人的任何數(shù)據(jù)。常見的 PII 數(shù)據(jù)包括電話號(hào)碼、社保編號(hào)、郵箱地址和家庭住址。隨著技術(shù)的采用，PII 的范圍已大幅擴(kuò)展，包括登錄 ID、IP 地址、數(shù)字圖像等，甚至包括社交媒體貼文。生物特征識(shí)別數(shù)據(jù)、行為數(shù)據(jù)和地理位置數(shù)據(jù)等其他數(shù)據(jù)也可以歸類為 PII。

無論您的組織屬于哪個(gè)行業(yè)，即便不屬于醫(yī)療保健和金融行業(yè)，保護(hù)客戶 PII 的安全都至關(guān)重要。那么，企業(yè)應(yīng)如何存儲(chǔ)私有數(shù)據(jù)？

密碼相關(guān)問題

在與安全專家 Frank Abagnale 交談時(shí)，他給出的建議是：用戶名+密碼的身份驗(yàn)證方法已經(jīng)過時(shí)，這也是造成安全泄露事件的最大因素。隨著復(fù)雜性層次的增加，用戶只會(huì)感到沮喪和不滿。

Abagnale 建議舍棄將密碼作為安全機(jī)制的做法，來加強(qiáng)身份識(shí)別和訪問管理（IAM）。類似借助安全哈希算法和其他加密技術(shù)來存儲(chǔ)密碼的風(fēng)險(xiǎn)減緩解決方案，在短期內(nèi)可能會(huì)有所幫助。但您依然很容易遭受暴力破解、字典攻擊和彩虹攻擊等類型的攻擊。此外，在使用密碼訪問 PII 時(shí)，您的公司依然很容易遭受網(wǎng)絡(luò)釣魚電子郵件的攻擊。

未來，PII 保護(hù)可能會(huì)受益于當(dāng)前在用戶手機(jī)上執(zhí)行身份驗(yàn)證所用的類似技術(shù)，比如在手機(jī)上部署加密密鑰。

PII 保護(hù)最佳實(shí)踐

密碼和身份驗(yàn)證方法在短時(shí)期內(nèi)不會(huì)有太大改變。在業(yè)務(wù)部門做好迎接劇烈的思維轉(zhuǎn)變、適應(yīng)新做法的準(zhǔn)備之前，我們?nèi)耘f需要充分發(fā)掘現(xiàn)有資源的潛力。

對于希望高效保護(hù) PII 安全的企業(yè)而言，可以采取以下六個(gè)步驟：

1. 識(shí)別保護(hù)對象及其存儲(chǔ)位置 

保護(hù) PII 安全的第一步是要充分了解要收集的 PII 以及它們的存儲(chǔ)位置。您還應(yīng)確定數(shù)據(jù)是否得到了正確收集，以及是否采取了適當(dāng)?shù)陌踩胧?/p>

2. 明確合規(guī)性法規(guī)

不同的行業(yè)需要遵守有關(guān)如何治理 PII 收集、存儲(chǔ)、處理和傳輸?shù)奶囟ê弦?guī)性法律和法規(guī)。這些法規(guī)也可能與客戶數(shù)據(jù)或其存儲(chǔ)位置有關(guān)，而不是特定于您的行業(yè)。

您的行業(yè)可能需要遵守下列一項(xiàng)或多項(xiàng)通用法規(guī)：

· 通用數(shù)據(jù)保護(hù)條例 (GDPR)

· 醫(yī)療保險(xiǎn)可攜性和責(zé)任法案 (HIPAA)

· 個(gè)人信息保護(hù)和電子文檔法案 (PIPEDA)

· 支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn) (PCI DSS)

3. 進(jìn)行 PII 風(fēng)險(xiǎn)評(píng)估

若要確定安全戰(zhàn)略中的任何漏洞或弱點(diǎn)，您必須明確以下幾點(diǎn)：

· 為確保監(jiān)管合規(guī)而采取的措施

· 在不受監(jiān)管的 PII 方面存在著哪些聲譽(yù)、運(yùn)營和安全風(fēng)險(xiǎn)？

· 從最可能發(fā)生到最不可能發(fā)生的威脅源列表

· 風(fēng)險(xiǎn)管理戰(zhàn)略

4. 安全刪除不必要的 PII

存儲(chǔ)業(yè)務(wù)不需要的 PII 可能會(huì)帶來安全風(fēng)險(xiǎn)。因此，您需要投入時(shí)間搜索這些數(shù)據(jù)并確定應(yīng)從中刪除的內(nèi)容。

此類數(shù)據(jù)可能包括：

· 不再與您有業(yè)務(wù)往來的客戶相關(guān)數(shù)據(jù)

· 已過期的員工記錄（即那些已從公司離職超過一年的員工相關(guān)記錄）

· 在未使用的設(shè)備上發(fā)現(xiàn)的 PII

5. PII 分類

PII 會(huì)具有不同級(jí)別的敏感性。舉例來說，信用卡數(shù)據(jù)比電子郵件列表更加敏感。因此，按照數(shù)據(jù)對機(jī)密性和隱私的影響對數(shù)據(jù)進(jìn)行分類是保護(hù) PII 的關(guān)鍵步驟之一。

6. 安全計(jì)劃和策略審查

千萬不要忽視對組織的安全計(jì)劃進(jìn)行頻繁審核。這類實(shí)踐應(yīng)包括對 PII 保護(hù)工具和解決方案進(jìn)行分析。在數(shù)據(jù)隱私法律更新時(shí)，您的策略也可能需要更新來體現(xiàn)這些變化。安全策略應(yīng)將來自國家技術(shù)研究所 (NIST) 框架、系統(tǒng)組織控制 (SOC) 2 或互聯(lián)網(wǎng)安全中心 (CIS) 控制等可信框架的最佳安全控制實(shí)踐納入其中。最后，您的策略應(yīng)通過單獨(dú)的章節(jié)來明確定義 PII 相關(guān)安全意識(shí)培訓(xùn)。

自上而下的組織意識(shí)

隨著 PII 相關(guān)威脅格局的快速加劇，公司必須確保其員工了解如何保護(hù) PII 數(shù)據(jù)，并且了解當(dāng)前威脅。

對于任何安全意識(shí)計(jì)劃來說，高層管理人員的支持都是關(guān)鍵要素之一。自上而下推行安全意識(shí)的組織文化，幾乎總是會(huì)得大于失。參加紅/藍(lán)隊(duì)類型活動(dòng)的高層管理人員可以更好地掌握公司的盲點(diǎn)所在，也可以相應(yīng)地制定 PII 保護(hù)計(jì)劃。目前尚不清楚什么會(huì)是推動(dòng)實(shí)現(xiàn)積極變革的催化劑。隨著數(shù)據(jù)泄露事件的不斷發(fā)生，保護(hù) PII 比以往任何時(shí)候都更為重要。

未來的發(fā)展趨勢會(huì)是什么？也許是采用不同的方法來存儲(chǔ)身份驗(yàn)證數(shù)據(jù)，或者是利用我們可能還沒聽說過的AI 和技術(shù)，提升組織意識(shí)，又或者只是遵循此處所述的某些步驟。對于任何一家企業(yè)來說，積極進(jìn)取肯定是百利而無一害。 

 * 點(diǎn)擊了解更多 IBM 個(gè)人身份信息保護(hù)舉措

歷史精彩文章推薦 >>>

 * IBM馮靚：混合云時(shí)代的原生安全觀

 * 遠(yuǎn)程工作環(huán)境中的可視性與威脅檢測 

 * 如何通過互聯(lián)性的方法提升威脅管理水平？ 

 關(guān)于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗(yàn)。IBM Security 在全球守護(hù)95%的全球五百強(qiáng)企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團(tuán)，包括50家全球最大的金融和銀行機(jī)構(gòu)中的49家、15家最大的醫(yī)療機(jī)構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機(jī)構(gòu)發(fā)布的12份不同的分析報(bào)告中，有12項(xiàng)技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。