數(shù)據(jù)泄露事件屢屢見諸報端，因此客戶和企業(yè)領(lǐng)導(dǎo)者都可能擔心他們的企業(yè)在客戶的個人身份信息 (PII) 保護方面做得不夠。在當今混亂的經(jīng)濟環(huán)境中，威脅格局堪憂，企業(yè)可以采用哪些方法來更好地保護增加的 PII 數(shù)據(jù)流呢？

在一些情況下，企業(yè)無法正確地存儲數(shù)據(jù)。還有一些情況，企業(yè)沒有采取充分的措施。數(shù)據(jù)泄露的后果遠遠不止金錢損失。數(shù)據(jù)泄露對組織聲譽和客戶信心的損害還可能會損害企業(yè)利潤。更復(fù)雜的是，許多組織經(jīng)常會出于營銷或其他目的與其他公司共享用戶數(shù)據(jù)，進而引發(fā)更多 PII 泄露的“完美風(fēng)暴”。

為什么如此難以保護 PII 的安全？

PII 是指可用于識別特定個人的任何數(shù)據(jù)。常見的 PII 數(shù)據(jù)包括電話號碼、社保編號、郵箱地址和家庭住址。隨著技術(shù)的采用，PII 的范圍已大幅擴展，包括登錄 ID、IP 地址、數(shù)字圖像等，甚至包括社交媒體貼文。生物特征識別數(shù)據(jù)、行為數(shù)據(jù)和地理位置數(shù)據(jù)等其他數(shù)據(jù)也可以歸類為 PII。

無論您的組織屬于哪個行業(yè)，即便不屬于醫(yī)療保健和金融行業(yè)，保護客戶 PII 的安全都至關(guān)重要。那么，企業(yè)應(yīng)如何存儲私有數(shù)據(jù)？

密碼相關(guān)問題

在與安全專家 Frank Abagnale 交談時，他給出的建議是：用戶名+密碼的身份驗證方法已經(jīng)過時，這也是造成安全泄露事件的最大因素。隨著復(fù)雜性層次的增加，用戶只會感到沮喪和不滿。

Abagnale 建議舍棄將密碼作為安全機制的做法，來加強身份識別和訪問管理（IAM）。類似借助安全哈希算法和其他加密技術(shù)來存儲密碼的風(fēng)險減緩解決方案，在短期內(nèi)可能會有所幫助。但您依然很容易遭受暴力破解、字典攻擊和彩虹攻擊等類型的攻擊。此外，在使用密碼訪問 PII 時，您的公司依然很容易遭受網(wǎng)絡(luò)釣魚電子郵件的攻擊。

未來，PII 保護可能會受益于當前在用戶手機上執(zhí)行身份驗證所用的類似技術(shù)，比如在手機上部署加密密鑰。

PII 保護最佳實踐

密碼和身份驗證方法在短時期內(nèi)不會有太大改變。在業(yè)務(wù)部門做好迎接劇烈的思維轉(zhuǎn)變、適應(yīng)新做法的準備之前，我們?nèi)耘f需要充分發(fā)掘現(xiàn)有資源的潛力。

對于希望高效保護 PII 安全的企業(yè)而言，可以采取以下六個步驟：

1. 識別保護對象及其存儲位置 

保護 PII 安全的第一步是要充分了解要收集的 PII 以及它們的存儲位置。您還應(yīng)確定數(shù)據(jù)是否得到了正確收集，以及是否采取了適當?shù)陌踩胧?/p>

2. 明確合規(guī)性法規(guī)

不同的行業(yè)需要遵守有關(guān)如何治理 PII 收集、存儲、處理和傳輸?shù)奶囟ê弦?guī)性法律和法規(guī)。這些法規(guī)也可能與客戶數(shù)據(jù)或其存儲位置有關(guān)，而不是特定于您的行業(yè)。

您的行業(yè)可能需要遵守下列一項或多項通用法規(guī)：

· 通用數(shù)據(jù)保護條例 (GDPR)

· 醫(yī)療保險可攜性和責(zé)任法案 (HIPAA)

· 個人信息保護和電子文檔法案 (PIPEDA)

· 支付卡行業(yè)數(shù)據(jù)安全標準 (PCI DSS)

3. 進行 PII 風(fēng)險評估

若要確定安全戰(zhàn)略中的任何漏洞或弱點，您必須明確以下幾點：

· 為確保監(jiān)管合規(guī)而采取的措施

· 在不受監(jiān)管的 PII 方面存在著哪些聲譽、運營和安全風(fēng)險？

· 從最可能發(fā)生到最不可能發(fā)生的威脅源列表

· 風(fēng)險管理戰(zhàn)略

4. 安全刪除不必要的 PII

存儲業(yè)務(wù)不需要的 PII 可能會帶來安全風(fēng)險。因此，您需要投入時間搜索這些數(shù)據(jù)并確定應(yīng)從中刪除的內(nèi)容。

此類數(shù)據(jù)可能包括：

· 不再與您有業(yè)務(wù)往來的客戶相關(guān)數(shù)據(jù)

· 已過期的員工記錄（即那些已從公司離職超過一年的員工相關(guān)記錄）

· 在未使用的設(shè)備上發(fā)現(xiàn)的 PII

5. PII 分類

PII 會具有不同級別的敏感性。舉例來說，信用卡數(shù)據(jù)比電子郵件列表更加敏感。因此，按照數(shù)據(jù)對機密性和隱私的影響對數(shù)據(jù)進行分類是保護 PII 的關(guān)鍵步驟之一。

6. 安全計劃和策略審查

千萬不要忽視對組織的安全計劃進行頻繁審核。這類實踐應(yīng)包括對 PII 保護工具和解決方案進行分析。在數(shù)據(jù)隱私法律更新時，您的策略也可能需要更新來體現(xiàn)這些變化。安全策略應(yīng)將來自國家技術(shù)研究所 (NIST) 框架、系統(tǒng)組織控制 (SOC) 2 或互聯(lián)網(wǎng)安全中心 (CIS) 控制等可信框架的最佳安全控制實踐納入其中。最后，您的策略應(yīng)通過單獨的章節(jié)來明確定義 PII 相關(guān)安全意識培訓(xùn)。

自上而下的組織意識

隨著 PII 相關(guān)威脅格局的快速加劇，公司必須確保其員工了解如何保護 PII 數(shù)據(jù)，并且了解當前威脅。

對于任何安全意識計劃來說，高層管理人員的支持都是關(guān)鍵要素之一。自上而下推行安全意識的組織文化，幾乎總是會得大于失。參加紅/藍隊類型活動的高層管理人員可以更好地掌握公司的盲點所在，也可以相應(yīng)地制定 PII 保護計劃。目前尚不清楚什么會是推動實現(xiàn)積極變革的催化劑。隨著數(shù)據(jù)泄露事件的不斷發(fā)生，保護 PII 比以往任何時候都更為重要。

未來的發(fā)展趨勢會是什么？也許是采用不同的方法來存儲身份驗證數(shù)據(jù)，或者是利用我們可能還沒聽說過的AI 和技術(shù)，提升組織意識，又或者只是遵循此處所述的某些步驟。對于任何一家企業(yè)來說，積極進取肯定是百利而無一害。 

 * 點擊了解更多 IBM 個人身份信息保護舉措

歷史精彩文章推薦 >>>

 * IBM馮靚：混合云時代的原生安全觀

 * 遠程工作環(huán)境中的可視性與威脅檢測 

 * 如何通過互聯(lián)性的方法提升威脅管理水平？ 

 關(guān)于 IBM Security >>>

IBM Security 是 IBM 的信息安全解決方案及服務(wù)部門，具有多年深耕全球和本地各行各業(yè)客戶的經(jīng)驗。IBM Security 在全球守護95%的全球五百強企業(yè)和組織的信息安全，客戶覆蓋金融、醫(yī)療、汽車、科技、電信、航空等行業(yè)公司及集團，包括50家全球最大的金融和銀行機構(gòu)中的49家、15家最大的醫(yī)療機構(gòu)中的14家，15家全球最大科技企業(yè)中的14家等。IBM Security 在 Gartner、Forrester、IDC 和其他機構(gòu)發(fā)布的12份不同的分析報告中，有12項技術(shù)解決方案被列為領(lǐng)導(dǎo)者，在產(chǎn)業(yè)中躋身首列。