数据处理和网络净化：在您的组织内建立安全文化

数据泄露事件不断增加，2024年上半年数据泄露受害者人数超过10亿。Verizon最近的一份2023年数据泄露报告证实，74%的数据泄露是由于人为错误。尽管网络安全意识在组织中处于历史最高点，但人为错误仍然是人为错误，但恶意意图和特权滥用似乎是大多数数据泄露事件的原因之一。

为了建立针对数据泄露的防御措施，组织必须超越传统的网络卫生方法，扩大其领域，包括管理从创建到处置IT资产的数据保护政策，在所有阶段保护敏感、机密数据。国际数据公司（IDC）预测，到2026年，对网络安全工具和服务的投资将达到约3000亿美元。这表明网络安全确实被视为全球组织中的优先事项。那么，为什么差距仍然存在，数据泄露会发生？

为什么网络净化很重要？

网络净化很重要，因为它有助于保持强大的组织网络安全态势。始终如一地遵守这些做法，保护数据、网络和系统免受恶意网络攻击的损害。缺乏适当的网络卫生会导致数据泄露事件、勒索软件攻击和合规问题，导致业务损失和声誉损失。

事实上，对于组织来说，商业关键信息的泄露风险更大，因为它意味着收入和商誉的损失。客户信息和公司数据是犯罪分子可以针对的公司最重要的资产。一个漏洞点可能会危及企业的伙伴关系，并使公司面临法律影响，因此任何网络安全战略都必须包括对网络卫生的强烈关注。

最好的网络净化做法是什么？

有一些网络净化实践为组织的安全网络安全奠定了基础，具体如下：

• 多因素身份验证：使用电子邮件和电话发送的OTP（一次性密码）等功能验证用户的身份，增加了另一层安全性，因此只有合法所有者才能访问帐户。同样，在设备或面部扫描上添加指纹验证可以增加保护。
• 授权访问控制：为需要访问某些数据的用户提供特权，有助于维护敏感信息的安全。
• 强密码：使用数字、字母和特殊字符组合的长密码和不常见密码可以加强配置文件的安全性。
• 软件更新：定期更新软件可确保最新的安全补丁和错误修复保护系统中已安装的软件。
• 安全数据处理：实施数据安全处理指南需要关于如何从设备中安全删除数据的规则、必须遵循的国际标准（NIST 800-88），以及为员工提供数据擦除解决方案的培训。高管、经理、员工IT专家和任何其他为公司工作的人必须严格遵守这些协议，IT专家应该是告知其他员工这些协议的关键人物。

数据处理如何使网络净化受益？

上述网络净化实践是规则的要理，为强大的网络安全态势奠定了基础。然而，数据处理和网络净化之间的联系经常被忽视。安全数据处理不仅与适当的网络净化有关，而且有利于加强组织的网络安全。以下是在网络净化背景下处理数据的好处：

• 保护业务数据：考虑数据泄露的情况，即个人的社会保障号码在对组织的网络攻击中被泄露。公司可能会面临法律诉讼，因不遵守EU-GDPR、CCPA、GLBA等数据保护法律和法规而面临处罚。在数据达到目的时处理数据很重要。进一步删除不准确、不一致、不完整和无关的信息，以保证即使在数据泄露的情况下，用户的个人身份信息（PII）也不会受到威胁。
• 防止数据囤积：组织存储数据以在未来从中检索值。长时间的数据积累导致数据囤积。适当的网络卫生要求组织优先考虑数据最小化。处置这些冗余、过时和微不足道的（ROT）数据可以永久删除数据，这些数据很容易成为内部威胁和外部攻击的目标。
• 减轻风险：安全数据擦除消除了未经授权的一方或有恶意的人恢复数据的风险。在退役旧的IT资产、重新利用功能齐全的资产或捐赠它们时，遵循安全的媒体消毒实践有助于防止敏感信息泄露，并遵守州、联邦和全球数据保护法律和法规。组织可以使用安全且经过认证的数据擦除工具（如BitRaser数据橡皮擦）及时处理数据，该工具有助于满足欧盟-GDPR、CCPA、英国-DPA、HIPAA等数据保护法的合规要求。

如何在您的组织中建立安全文化？

任何愿意建立安全第一文化的组织的第一步都是在公司政策中纳入简单、清晰和透明的网络净化实践。其他步骤可能如下：

• 领导者的参与：做出长期的改变，例如文化的转变，是领导者的责任。要在组织中建立安全第一文化，没有比自上而下更好的方法了。领导者可以自己接受网络卫生实践，并以身作则。无论是与员工进行一对一的面对面讨论，还是通过小组环境中的虚拟会议，领导者都可以分享他们信奉的网络安全原则。
• 员工培训：如果第一批与这些工具互动的员工没有足够的设备来操作这些工具，则定期升级系统软件是不够的。必须对员工进行培训，让他们了不理解这些安全做法的重要性，以及遵守这些安全做法的正确方法。通过没有技术术语的互动会议，可以传达强有力的网络安全态势的必要性。
• 定期审计：除了纳入安全政策和向员工传授知识外，评估这些政策和实践的效率可以指导未来的安全决策。定期审计可以是确定制定的政策是否在当地得到适当实施，以及它们是否有助于取得预期结果的方法之一。

根据《微软数字防御2022报告》，即使是基本的网络净化实践也有助于防止98%的网络攻击。然而，大多数数据泄露都是由于这些基本安全实践的疏忽而发生的。将网络安全作为文化的一部分，不仅可以保护未存储的数据，还可以删除没有目的的数据，从而改变组织看待安全的方式。

参考来源：helpnetsecurity