首席信息安全官如何不耽误与首席数据官的合作机会?

大多数人都非常关注《隐私工程师宣言》一书作者所说的“访问阶段保护”。Constellation研究公司分析师Dion Hinchcliffe说，“不幸的事实是，安全没有边界。人们再也无法信任任何事物，即使在外围也是如此。任何人可以连接全球互联网，网络攻击者也可以攻击所有人。”

前首席信息官Wayne Sadin对此表示认同，他说：“我特别不喜欢‘外围’，因为这意味着‘内部=安全，外部=危险’”。他表示，尽管访问阶段保护仍然是安全架构的重要组成部分，但首席信息安全官仍有机会做更多的事情，可以与首席数据官开展合作，以保护其所在公司及其数据的真正价值。

采取这一步骤的原因是，正如首席信息安全官所知道的那样，网络攻击者变得越来越老练。他们有些并不强行攻击企业防火墙，而是找到众所周知的窗口。他们这样做的目的是针对控制数据库访问权限的数据库，并使用网络钓鱼和其他攻击技术来获取企业的客户数据，网络攻击者因此可以访问企业的客户数据库中的所有内容。

安全教育仍然很重要，那么有一个问题是：首席信息安全官和首席数据官为什么不积极保护其公司数据?

这是建立合作伙伴关系的一个绝佳机会，因为首席信息安全官可以利用首席数据官的数据知识和治理技能，而首席数据官可以利用首席信息安全官的内部和外部威胁知识。

系统化的数据治理

保护数据的核心要素是使数据治理实现系统化。有了数据治理，任何人(无论职位或级别多高)都不应该有权访问所有数据。需要的是建立一些安全原则和流程，将控制和信息构建到流程、系统、组件和产品中，以实现对个人信息的授权、公平和合法处理。

具体来说，其合作机会是为个人可识别信息(PII)建立数据治理，并遵守ISO 27001标准。企业首席信息安全官和首席数据官目前应该面临的问题是，如何做好这一点，特别是在传统企业中。

为此建议企业执行以下三个步骤：

步骤1：建立数据管理

一切都需要从数据管理开始。需要注意的是，数据管理员并不像IT部门那样关心数据。

只有数据的所有者才知道应该如何管理数据，以及他们的行业在个人可识别信息(PII)方面需要遵循的合规性要求。因此，其首要任务是为数据类建立数据所有者。

通过这样做，数据管理员需要确保为最终数据所有者提供有关如何维护、管理、治理和保护数据的数据策略。尽管有隐私类型，但在这里关注的是安全性、道德、隐私。Constellation公司的Hinchcliffe表示，保证数据安全的第一步是在组织内建立授权，然后集中足够的资源来做任何事情。这样，治理、隐私、安全政策就可以得到充分的制定和实施。

在这里，重要的是要采取一种非侵入性的数据治理方法。这种方法的前提是企业已经在管理数据，但是他们以非正式的方式管理数据，从而导致数据管理方式的效率低下或无效。

这是一个有效的数据治理程序，旨在对有关数据收集、创建、定义、对齐、优先级排序、监视和执行的规则进行整理。这其中包括数据治理规则和数据定义的创建。对于个人可识别信息(PII)尤其如此。

在这里要确定谁可以查看或修改数据。在流程方面，数据治理至少包括以下步骤：1)数据规则和定义;2)决策规则;3)责任;4)控制;5)数据利益相关者;6)数据管理人员;7)数据处理。

（编辑：帝国网站管理系统）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!