CISO注意:保留數據記錄的“七宗罪”
對于受到越來越多法規和法律義務約束的企業組織而言,保留數據記錄既是生活中的既定事實,也是日漸棘手的問題。本文將介紹保護數據和文檔安全的最糟(以及最佳)做法。
運動賽場上的記錄是用來突破的,而企業的數據記錄卻始終被保留著,直至它們徹底失效為止。隨著合規性要求的迅速增加,企業正面臨著一場“數據海嘯”,當前和過時的數據記錄鋪天蓋地,完全壓垮了對其進行安全存儲、跟蹤、管理并最終銷毀所需的人力和IT資源。
Deloitte風險與金融咨詢公司的負責人Sean Riley表示,每個記錄類別都有一個保留期限,該保留期限由公司政策、業務風險承受能力、外部法律建議、法規要求和法律義務等多方因素共同定義。一些記錄只需要保存三年,而其他一些則可能出于商業價值或法律原因需要無限期保存。
Deloitte風險與金融咨詢公司另一位負責人Dan Frank補充道,數據記錄保留實際上會導致數據破壞。大多數組織非常擅于保留數據。CISO的主要責任是確保組織具有安全的數據和記錄銷毀能力,以及相應的技術,以在適當的情況下安全地刪除數據和記錄。保存過時的記錄可能會導致時間浪費和不必要的混亂,因為研究人員在搜索實際需要的記錄時會發現自己正在尋找過時的文件。未能正確整理記錄還會增加存儲和備份成本。
由于CISO正面臨著越來越多的法定記錄庫存,并且難以決定要保留或丟棄哪些文檔和數據,因此他們很容易成為下述數據保留“七宗罪”的受害者:
數據保留“七宗罪”
1. 忽略最新的和不斷發展的記錄保留要求
最近的隱私法規,例如歐盟的《通用數據保護法規》(GDPR)和《加州消費者隱私法案》(CCPA),極大地增加了對更深入、更強大和更具包容性的數據治理的需求。為了在當今的隱私、法律和法規環境中生存,企業組織必須對其擁有哪些數據?所處位置?應該如何使用?與誰共享?是否屬于出售數據?以及必須保留多久等問題有一個非常全面的了解。如果CISO不先了解組織所擁有的數據類型和數量以及其所處位置,談何幫助組織實施全面的記錄保留時間表和策略?
2. 忽略適當定義數據保留目標和職責
數據保留和數據治理程序不是一次性項目。一個功能完整且可靠的程序需要人員、流程和技術來支持它們,就像任何其他公司職能(例如數據隱私或信息安全)一樣。
管理著組織不善的數據保留程序的CISO往往會與內部團隊脫節,這有助于推動降低風險的結果。當CISO讓所有利益相關者(包括法律、隱私、網絡安全、IT和記錄管理團隊)參與制定和實施記錄保留協議和程序時,其將為組織提供最佳服務。
無組織無意識的CISO也容易錯過日常業務過程中不時出現的主要數據管理改進機會。記住,內部系統的升級、遷移以及外部事件(例如資產剝離和收購)可以為實施數據管理改進策略提供時機。
3. 無法完全了解CISO在記錄保留中的作用
盡管律師、CIO和CDO通常負責建立基本的記錄保留策略和時間表,但CISO在記錄管理過程中同樣發揮著核心作用,尤其是在保存和提供可用于支持安全調查的數據,以及可用于證明數據完整性的監管鏈證據等方面。除此之外,信息安全領導者還必須能夠證明事件相關性,以滿足法院的“不可抵賴性”要求,并提供事件歷史記錄,以確定環境中事件的停留時間。最后,CISO應該負責(提交)與獨立審計有關的報告……以及法律和法規義務。
4. 對數據生命周期元素缺乏全面的了解
一些CSO對數據生命周期中涉及的各種元素缺乏全面的了解。結果,關鍵數據生命周期元素經常被忽略或被錯誤地使用。
了解處理活動的確切名稱和描述、流程所有者、數據處理器以及業務目的和合法性只是挑戰的一部分。加上與處理活動相關聯的資產以及它們的地理位置,還有很多元數據需要分析。即便元數據正確,也必須要有專人進行初始分析,這并不是傳統的安全技能集。
5. 完全信任自動化記錄管理解決方案
記錄自動化可以是一種非常有用且節省時間的技術。不幸的是,它同時也是一個非常復雜的工具,很容易導致錯誤的記錄保留或銷毀決策,尤其是在配置不當或使用不當的時候。對于每個用例而言,理解是什么觸發了自動化流程的變更——例如法律保留、稅務審計保留以及法規變更——是一件非常困難的事情。
無論是手動記錄管理還是自動化配置過程中,人類仍需要發揮重要作用。與監管利益相關者就他們的目標和定期清除進行雙向溝通至關重要。明確能夠在內部和外部搜索和操縱數據的數據管理員同樣至關重要。
6. 忽略保留戰術性日志數據
這種疏忽可能會特別致命,因為如果必須對重大漏洞進行分類或解決其他類型的重大安全事件,調查人員可能需要回溯歷史數據才能發現事件的根源所在。要知道,發現違規事件的根源或是損害的程度,在很大程度上都要依賴回溯流量和其他日志數據,以明確攻擊者的攻擊路徑以及執行的相關技術。缺乏對戰術性日志數據的訪問,就無法準確定位發生攻擊的確切時間,以及攻擊者在此過程中所遵循的流程、技術和策略。
7. 未能定期檢查當前記錄保留期限是否仍然有效
如今,監管形勢正在不斷變化,每當法規或法律要求變更時,CISO需要做好準備以快速地調整記錄保留期限。如果本該清除的記錄繼續保留著,或是需要保留的記錄自動清除掉了,都可能會導致嚴重的財務和訴訟后果。對保留期限進行嚴格監督,這一點至關重要。
除此之外,安全專家還敦促CISO必須準確監控管理層和員工如何訪問和處理記錄。要知道,無論書面記錄保留政策多么完美,如果人們不遵守該政策,一切將毫無意義。
