Какво представлява защитата на данните?
Защитата на данните включва информация какви данни имате и къде се намират, както и идентифициране на рисковете около вашите данни. Научете как да защитите данните си.
Дефиниция на защита на данните
Защитата на данните помага за защитата на чувствителните данни през целия им жизнен цикъл, разбирането на контекста на потребителската дейност и данни и предотвратяването на неупълномощено използване или загуба на данни.
Важността на защитата на данните не може да бъде подценявана в тези времена на увеличаване на заплахите за киберсигурността и вътрешните рискове за информацията. Необходимо е да имате видимост за типовете данни, които имате, да предотвратявате неупълномощено използване на данни и да идентифицирате и смекчавате рисковете около данните. В съчетание със защитата на данните, управлението на защитата на данните насочва вашата организация в планирането, организирането и управлението на дейностите по защитата на данните с помощта на добре написани правила и процедури.
Типове защита на данните
За да бъде ефективна защитата на данните, тя трябва да отчита чувствителността на наборите от данни и нормативните изисквания за съответствие на вашата организация. Типовете защита на данните, които ви помагат да се защитите срещу пробив в данните, да отговаряте на нормативните изисквания и да предотвратите повреда на репутацията си, включват:
- Управление на достъпа, на което е подчинен достъпът до локални и базирани в облака данни.
- Удостоверяване на потребителите чрез пароли, карти за достъп или биометрични данни.
- Резервни копия и възстановяване, за да се разреши достъп до данните след отказ на системата, повреда на данни или авария.
- Устойчивост на данните като проактивен подход към аварийно възстановяване и непрекъсваемост на бизнеса.
- Изтриване на данни за правилно освобождаване от данните, така че да се направят невъзстановими.
- Софтуер за маскиране на данни, който използва заместващи знаци за скриване на букви и цифри от неупълномощени потребители.
- Решения за предотвратяване на загуба на данни за предпазване от неупълномощено използване на чувствителни данни.
- Шифроване, за да се направят файловете нечетливи за неупълномощени потребители.
- Защита на информацията, която помага за класифицирането на чувствителните данни, намерени във файлове и документи.
- Управление на вътрешния риска за информацията за намаляване на рисковата дейност на потребителите.
Типове данни, които трябва да бъдат защитени
Всеки, който е имал случай на компрометирана кредитна карта или открадната самоличност, открива по-дълбока благодарност за ефективната защита на данните. Злонамерените хакери непрекъснато разработват начини за кражба на лични данни и искане на откуп, продажба или извършване на по-нататъшни измами. Освен това настоящите и бившите служители често стават причина за загуба на данни, което прави управлението на риска за вътрешната информация необходимост за организациите.
Всеки отрасъл има свои собствени изисквания какво да защитава и как да го защитава, но често срещаните типове данни, които трябва да бъдат защитени, включват:
- Лични данни на вашите служители и клиенти.
- Финансови данни, като номера на кредитни карти, банкова информация и фирмени финансови отчети.
- Информация за изправността, като например получавани услуги, диагностика и резултати от тестове.
- Интелектуална собственост, като търговски тайни и патенти.
- Данни за бизнес операции, като например информация за веригата на доставки и производствените процеси.
Заплахи за защитата на данните
В работата и у дома, интернет ви дава достъп до акаунти, методи за комуникация и начини за споделяне и използване на информация. Много типове кибератаки и вътрешни рискове за информацията могат да изложат на риск информацията, която споделяте.
-
Хакване
Хакването се отнася за всеки опит чрез компютър за кражба на данни, повреждане на мрежи или файлове, поемане на цифровата среда на организацията или нарушаване на нейните данни и дейности. Методите за хакване включват фишинг, злонамерен софтуер, разбиване на код и разпределени атаки за отказ на услуга.
-
Злонамерен софтуер
Злонамерен софтуер е термин за червеи, вируси и шпиониращ софтуер, който дава на неупълномощени потребители достъп до вашата среда. След като влязат, тези потребители могат да прекъснат вашата ИТ мрежа и устройства крайни точки или да откраднат идентификационни данни, които може да са останали във файловете.
-
Рансъмуер
Рансъмуер е злонамерен софтуер, който спира достъпа до вашата мрежа и файлове, докато не платите откуп. Отварянето на прикачен файл към имейл и щракването върху реклама са някои от начините, по които рансъмуерът може да бъде изтеглен на вашия компютър. Той обикновено се открива, когато нямате достъп до файловете или виждате съобщение, което изисква плащане.
-
Фишинг
Фишинг е действие да се подмамят отделни лица или организации да дадат информация, като например номера на кредитни карти и пароли. Намерението е да се откраднат или повредят чувствителни данни, като се твърди, че това е реномирана фирма, с която е запозната жертвата.
-
Изтичане на данни
Изтичането на данни е умишлено или случайно прехвърляне на вътрешни данни от организацията към външен получател. Това може да се изпълни с помощта на имейл, интернет и устройства като лаптопи и преносими устройства за съхранение. Файлове и документи, които са премахнати локално, също са форма на изтичане на данни.
-
Небрежност
Небрежност е, когато служител умишлено нарушава правилата за защита, но не се опитва да причини вреда на фирмата. Например той може да споделят чувствителни данни с колега, който няма достъп, или да влиза в ресурсите на фирмата чрез незащитена безжична връзка. Друг пример е да се позволи на някого да влезе в сграда, без да показва документ.
-
Измама
Измамата се извършва от хитроумни потребители, които искат да се възползват от анонимността онлайн и достъпността в реално време. Те могат да създават транзакции с помощта на компрометирани акаунти и откраднати номера на кредитни карти. Организациите може да станат жертва на гаранционна измама, измама с възстановяване на сума или измама с посредник.
-
Кражба
Кражбата е заплаха с вътрешна информация, която води до откраднати данни, пари или интелектуална собственост. Това се прави за лична изгода и за да се навреди на организацията. Например един надежден доставчик може да продава номера на социални осигуровки на клиенти в сенчестата мрежа или да използва вътрешна информация на клиентите, за да започне свой собствен бизнес.
-
Природни бедствия
Природните бедствия невинаги ви предупреждават, че идват, така че е умно да се подготвите предварително, за да защитите данните си за всеки случай. Независимо дали става въпрос за урагани, земетресения, наводнение или друга форма на опустошение, архивирането на вашите данни външно място ще ви помогне да изпълнявате своя план за непрекъсваемост на работата.
Технологии за защита на данните
Технологиите за защита на данните са ключови компоненти на една по-пълна стратегия за защита на данните. Налични са различни решения за защита от загуба на данни, които да ви помогнат да разкривате вътрешна и външна дейност, да маркирате с флаг подозрително или рисково поведение при споделяне на данни и да управлявате достъпа до чувствителни данни. Прилагайте технологии за защита на данните като тези, за да предотвратите извличане на чувствителни данни.
Шифроване на данни. Използвайте шифроване, като конвертирате данни в код, върху данни, които са в покой или в движение, за да не допуснете неупълномощени потребители да преглеждат съдържанието на файла дори ако получат достъп до местоположението му.
Удостоверяване и упълномощаване на потребителя. Удостоверете идентификационните данни на потребителя и потвърдете, че привилегиите за достъп са присвоени и приложени правилно. Управлението на достъпа, базирано на роли, помага на вашата организация да предоставя достъп само на онези, които се нуждаят от него.
Откриване на вътрешен риск. Идентифицирайте дейностите, които може да показват рискове или заплахи за вътрешна информация. Разберете контекста на използването на данни и разберете кога определени изтегляния, имейли извън вашата организация и преименувани файлове сочат към подозрително поведение.
Правила за защита срещу загуба на данни. Създавайте и прилагайте правила, които определят как се управляват и споделят данните. Посочете упълномощени потребители, приложения и среди за различни дейности, за да помогнете за предотвратяване на изтичането или кражбата на данни.
Архивиране на данни. Архивирайте точно резервно копие на данните на вашата организация, така че вашите упълномощени администратори да имат начин да ги възстановяват в случай на неизправност в мястото за съхранение, при пробив в данните или при бедствие от всякакъв вид.
Известия в реално време. Автоматизирайте известията за потенциална злоупотреба с данни и получавайте известия за възможни проблеми със защитата, преди те да нанесат щети на вашите данни, репутация или поверителност на служителите и клиентите.
Оценка на риска. Разберете, че служителите, доставчиците, изпълнителите и партньорите имат информация за вашите данни и практики за защита. За да предотвратите злоупотребата с нея, трябва да знаете какви данни имате и как те се използват в цялата ви организация.
Проверка на данни. Погрижете се за основните безпокойства, каквито са защита на данните, точност и достъпност, с редовно планирани проверки на данни. Те ви информират кой използва вашите данни и как се използват.
Стратегии за управление на защитата на данните
Стратегиите за управление на защитата на данни включват правила, процедури и управление, които ви помагат да поддържате данните си по-безопасни и по-защитени.
-
Прилагане на най-добри практики за управление на пароли
Реализирайте едно лесно за използване решение за управление на пароли. То ще премахне нуждата от лепкави бележки и електронни таблици и ще облекчи служителите от необходимостта да запомнят уникални пароли.
Използвайте фрази за достъп вместо пароли. Фразата за достъп може да е по-лесна за запомняне от служителя и по-трудна за отгатване от киберпрестъпника.
Разрешаване на двустепенно удостоверяване (2FA). С 2FA, дори ако една фраза за достъп или парола е компрометирана, се поддържа защита при влизане, тъй като неупълномощен потребител не може да получи достъп без допълнителния код, изпратен на второто устройство.
Променете паролите си след пробив. Промяната им по-често води до по-слаби пароли с течение на времето.
Избягвайте повторното използване на фрази за достъп или пароли. След като бъдат компрометирани, те често се използват за разбиване на други акаунти. -
Създаване на план за защита
Защита на чувствителни данни. Откривайте и класифицирайте данни в мащаб, за да знаете обема, типа и местоположението на информацията, където и да се намира тя през целия им жизнен цикъл.
Управление на рисковете за вътрешна информация. Разбиране на дейността на потребителя и предназначението на данните за идентифициране на потенциално рискови дейности, които може да доведат до инциденти със защитата на данните.
Установяване на правилни контроли и правила за достъп. Помогнете за предотвратяването на действия като неправилно записване, съхраняване или отпечатване на поверителни данни.
-
Използване на шифроване за защита на данните
Шифроването на данни не позволява на неупълномощени потребители да четат чувствителни данни. Дори ако получат достъп до вашата среда за данни или виждат данните, докато се прехвърлят, данните са безполезни, тъй като не могат да бъдат лесно прочетени или разбрани.
-
Инсталиране на актуализации на софтуера и защитата
Актуализациите на софтуера и защитата са насочени срещу известни уязвимости, които киберпрестъпниците често използват, за да откраднат поверителна информация. Поддържането на редовни актуализации помага да се справите с тези уязвимости и да предотвратите компрометиране на вашите системи.
-
Обучение на служителите за защита на данните
Подпомагането на защитата на данните на вашата организация не се отнася само за вашия ИТ отдел; трябва също така да обучите служителите си да бъдат наясно с разкриването, кражбата и повредата на данни. Най-добрите практики за защита на данните са подходящи за данни, които са онлайн и са отпечатани като хартиени копия. Официално обучение трябва да се провежда редовно, независимо дали е на три месеца, шест месеца, или ежегодно.
-
Внедряване на протоколи за защита за отдалечена работа
За да внедрите протоколи за защита за отдалечената работна сила, започнете с изясняване на вашите правила и процедури. Това обикновено води до задължително обучение за защитата и указва какви софтуерни приложения са приемливи за използване и как да ги използвате. Протоколите трябва да включват и процес за защита на всички устройства, използвани от вашите служители.
Нормативни разпоредби и съответствие
Организациите трябва да спазват съответните стандарти, закони и разпоредби за защита на данните. Те включват, но не се ограничават до събиране само на информацията, която ви трябва от клиенти или служители, обработка за запазването й в безопасност и правилното й ликвидиране. Примери за закони за поверителност са Общият регламент относно защитата на данните (ОРЗД), Законът за преносимост и отчетност на здравните застраховки (HIPAA) и Законът за поверителността на потребителите в Калифорния (CCPA).
ОРЗД е най-строгият закон за поверителност и защита на данните. Той е изготвен и приет от Европейския съюз (ЕС), но организациите по целия свят са задължени да спазват изискванията, ако набелязват или събират лични данни от граждани или жители на ЕС или им предлагат стоки и услуги.
HIPAA помага да се защити здравната информация за пациентите от разкриване без знанието или съгласието на пациента. Правилото за поверителност на HIPAA защитава личната здравна информация и е издадено с цел прилагане на изискванията на HIPAA. Правилото за защита в HIPAA помага за защитата на личната здравна информация, която доставчикът на здравни услуги създава, получава, поддържа или предава по електронен път.
CCPA помага за защитата на правата за поверителност за потребителите в Калифорния, включително правото да знаят какви лични данни се събират и как се използват и споделят, правото на изтриване на лични данни, събрани от тях, и правото на отписване от продажбата на личните им данни.
Служителят по защита на данните (DPO) е водеща роля, която следи за съответствието и помага да се гарантира, че вашата организация обработва лични данни в съответствие със законите за защита на данните. Например те информират и съветват екипите за съответствие как да спазват изискванията, да предоставят обучение в рамките на организацията и да съобщават за несъответствие с правилото и нормативните разпоредби.
Когато несъответствието води до пробив в данните, това често струва на организациите милиони долари. Последствията включват кражба на самоличност, загубена продуктивност и смърт на клиенти.
Заключение
Защитата на данните и управлението на защитата на данните помагат да идентифицирате и оценявате заплахите за вашите данни, да спазвате нормативните изисквания и да поддържате целостта на вашите данни.
Поемете ангажимента да архивирате данните си често, да съхранявате копие на архива си в местоположение извън сайта, да установите свои стратегии за управление на защитата на данните и да прилагате сигурни пароли или фрази за достъп и 2FA.
Предприемането на стъпки за защита на данните по време на жизнения им цикъл, разбирането на начина на използване на данните, предотвратяването на изтичането на данни и създаването на правила за защита от загуба на данни са стълбовете за изграждане на силна защита във вашата организация.
Научете как да защитите данните си в облаци, приложения и крайни точки с процедури с инструменти за защита на данните.
Научете повече за Microsoft Security
Microsoft Purview
Прегледайте решенията за управление, защита и съответствие на данните на вашата организация.
Защита от загуба на данни
Идентифицирайте неподходящо споделяне или използване на чувствителни данни в крайни точки, приложения и услуги.
Управление на рисковете за вътрешна информация
Научете как да идентифицирате потенциални рискове в дейностите на вашите служители и доставчици.
Защита на информацията
Откривайте, класифицирайте и защитавайте своите най-чувствителни данни в цялото си цифрово имущество.
Често задавани въпроси
-
Защитата на данните помага да се предпазват чувствителните данни през целия им жизнен цикъл, да се разбира контекстът на потребителската дейност и данни и да се предотвратява неупълномощеното използване на данни. Това включва информация какви данни имате и къде се намират, както и идентифициране на заплахите за тези данни.
-
Типовете защита на данните включват:
- Контроли за достъп, които изискват идентификационни данни за влизане за локални и базирани в облака данни.
- Удостоверяване на потребителите чрез пароли, карти за достъп или биометрични данни.
- Резервни копия и възстановяване, за да се разреши достъп до данните след отказ на системата, повреда на данни или авария.
- Устойчивост на данните като проактивен подход към аварийно възстановяване и непрекъсваемост на бизнеса.
- Изтриване на данни за правилното ликвидиране на данни, така че да се направят невъзстановими.
- Софтуер за маскиране на данни, който използва заместващи знаци за скриване на букви и цифри от неупълномощени потребители.
- Решения за предотвратяване на загуба на данни за предпазване от неупълномощено използване на чувствителни данни.
- Шифроване, за да се направят файловете нечетливи за неупълномощени потребители.
- Защита на информацията, която помага за класифицирането на чувствителните данни, намерени във файлове и документи.
- Управление на вътрешния риска за информацията за намаляване на рисковата дейност на потребителите.
-
Пример за защита на данните е използването на технология, с която да виждате къде се намират чувствителните данни в рамките на вашата организация и да знаете как се извършва достъп и използване на тези данни.
-
Защитата на данните е важна, тъй като помага на вашата организация да се предпази от кибератаки, вътрешни заплахи и човешки грешки, които всички могат да доведат до пробиви в данните.
-
Четирите ключови проблема в защитата на данните са поверителност, цялост, готовност и съответствие.
Следвайте Microsoft 365