数据风险评估（Data Risk Assessment）介绍

写在前面：数据风险评估是对组织内数据安全现状的全面认识。国内也有多家公司专注数据安全这个领域。在项目中实际遇到的问题是敏感数据的发现，对整体数据的分类分级，包含结构化和非结构化数据，使用自动化工具高效完成这个任务，还没有看到特别好的方案。文中提到的Spirion，看其产品和方案介绍，好像做的挺好。大家可以参考。

什么是数据风险评估（Data Risk Assessment），为什么你的业务需要？

SPIRION      2022年6月2日

了解敏感数据保存的位置，以及它所具有的风险，对于正确的数据保护至关重要。

       根据身份失窃资源中心的数据，2021年1月，网络犯罪分子在全球入侵了超过8.78亿条数据记录，在2022年第一季度，超过90%的数据泄露与网络攻击有关。

       在过去几年里，伴随着新数据产生和消费爆炸式增长，网络犯罪迅速上升。研究表明，在许多企业中，数据产量以每月60%以上的速度增长，部分原因是组织可以从更多的来源收集信息，比以往任何时候都更容易。

       事实上，一些公司报告说，他们从1000个或更多的数据源中提取数据来支持关键任务应用程序，如商业智能(BI)、分析系统和机器学习(ML)平台。虽然更多可用的数据对渴望在市场上获得竞争优势的企业来说是好事儿，但这也是一个重大的风险领域，如果他们不小心的话，可能会导致灾难。       

       未知数量的数据可能包含敏感文件，如个人身份信息(PII)、非公开个人信息和其他受监管的数据，可能存储在本地、云、电子邮件和其他安全性或合规性未知的位置，使它们暴露在网络犯罪分子面前，或者业务上意外丢失。

       因此，世界各地的业务和IT领导者都在努力寻找解决方案，帮助他们提高发现和保护数据的能力，同时还允许他们充分利用数据进行洞察和战略业务规划。

       因此企业及其信任的合作伙伴越来越多地采用数据风险评估(DRA)解决方案。这使他们能够极大地提高识别和保护敏感数据的能力，无论这些数据是否驻留在IT环境中，同时还提高了他们可能甚至不知道存在的信息的战略价值。

风险显著降低的内容和背景

       在Spirion隐私级数据发现方案的支持下，数据风险评估对以前隐藏的敏感数据提供了无与伦比的可见性和准确性，帮助客户制定以数据为中心的路线图，以实现更强大的安全和数据隐私态势

       具体来说，数据风险评估报告对于识别安全控制和业务流程中的差距至关重要，这些缺失大大增加了灾难性数据泄露或不遵守严格的数据隐私法规(如GDPR和CCPA)而受到损害利润的处罚的几率。

       数据风险评估报告评估关键系统和敏感数据风险，按风险级别对数据进行排序，使企业能够主动工作以减少风险暴露。客户可以一目了然地查看有关已暴露敏感数据的重要细节，例如：

-端点名称

-位置路径

-数据类型

-匹配的数量

-位置搜索

-文件类型

       通过确定信息环境中敏感数据的数量和相对脆弱性，团队可以更好地了解如何在组织的每个层面(从端点和应用程序到云、数据库和文件服务系统)采用加固的安全和隐私协议，以及在哪里集中精力以获得最大程度的保护。

真正的商业意义，实际的商业结果

       数据隐私和安全从未像现在这样重要，也从未像现在这样具有挑战性。现在，每次数据泄露的平均成本超过400万美元，随着攻击面继续增长，攻击本身变得更加复杂和难以统计，破坏的程度将继续增加。

       数据风险评估可以对高度敏感的数据进行智能搜索，包括银行账户和信用卡号码、驾照和出生证明、护照、电子邮件地址和其他高价值的网络犯罪目标。

       数据风险评估是任何全面的数据隐私和安全策略的重要组成部分。具体来说，数据风险评估可以通过帮助减少罚款、诉讼和合规处罚，从而极大地减少潜在违规行为的财务和声誉影响。以及通过强大的IT安全自动化来优化资源生产力，从而报告之后减轻有形的数据风险。

https://www.spirion.com/blog/whats-a-data-risk-assessment-and-why-does-your-business-need-one/

手把手教你数据风险评估

• Karen Scarfone, Scarfone Cybersecurity     2022年7月

       如今，大多数企业都将敏感数据视为最有价值的资产。这包括个人记录到知识产权和其他专有信息。

       每个组织都需要保护其敏感数据的安全和隐私，以避免数据泄露、知识产权被窃和其他可能导致罚款、诉讼，甚至在最坏的情况下导致业务失败的事件。

什么是数据风险评估？为什么它很重要？

       数据风险评估是检查组织如何保护其敏感数据以及需要进行哪些改进。

组织应定期进行数据风险评估，作为审计的一种形式，以帮助发现信息安全和隐私控制方面的缺陷，并降低风险。在数据泄露后，无论是有意还是无意，数据风险评估也是必要的，以改善控制并降低未来发生类似泄露的可能性。

执行数据风险评估的5个步骤

       使用以下五个步骤执行全面的数据风险评估。

1.清点敏感数据

       检查端点、云服务、存储媒介和其他位置，以查找并记录所有的敏感数据。数据清单应包括可能影响风险要求的任何特征。例如，存储数据的地理位置会影响适用哪些法律法规。

       确定每类敏感数据的负责人，以便在必要时与他们进行沟通。

2.为每种数据实例进行数据分类

       每个组织都应该已经对所有敏感数据定义了数据分类，例如“受保护的健康信息”和“个人身份信息”。这些定义应该指出，对于每种敏感数据类型，应该强制或推荐哪些安全和隐私控制。

       即使数据已经有了分类，也要定期重新检查。数据的性质会随着时间的推移而改变，可能会出现适用于争议数据的新分类。

3.优先考虑要评估哪些敏感数据

       一个组织可能有大量的敏感数据，以至于在每次评估时都不可能审查所有数据。如果有必要，优先考虑最敏感的数据、要求最严格的数据或没有进行评估的时间最长的数据。

4.检查所有相关的安全和隐私控制

       审计保护敏感数据的控制，如使用、存储和传输。常见的审计步骤包括：

•        验证最小权限原则。确认只有必要的用户、进程服务、管理员和第三方(例如，业务合作伙伴、承包商和供应商)才有权访问敏感数据，并且他们只有所需的访问权限，例如只读、读写等。

•        确保所有限制访问数据的政策都得到积极执行。例如，组织可能基于以下因素限制对某些敏感数据的访问：

• -用户位置

• -数据位置

• -一天中的时间

• -星期几

• -用户的设备类型

•        确保使用了所有其他必要的安全和隐私控制措施。降低风险的常用工具包括：

• -数据防泄露软件(DLP)

• -防火墙

• -加密

• -多因素身份验证

• -用户和实体行为分析（UEBA）

•        识别数据保留违规。确定是否存在遵守数据保留策略应该销毁的数据。5.记录所有安全和隐私控制方面的缺陷

       虽然识别安全和隐私缺陷属于数据风险评估的范围，但修复它们不在其中。然而，评估包括以下内容是合理的:

• -每项缺陷的相对优先级

• -解决每个缺陷的建议行动方案

       这些建议为更好的数据安全提供了理想的路线图。风险矩阵可以根据潜在后果的严重程度和发生的可能性帮助组织问题并确定优先级。

在数据风险评估中，风险矩阵能够帮助发现高风险数据

       制定风险缓解计划的五个步骤

数据风险评估应为后续的风险缓解计划提供信息

如何运用数据风险评估结果

       企业领导人应制定战略，以缓解数据风险评估中发现的安全和隐私缺陷，同时考虑修复建议，并优先考虑高风险问题。

       最终，数据风险评估的输出应成为组织风险管理和缓解计划的主要输入，从而实现更明智的决策，有助于改善数据保护。

https://www.techtarget.com/searchsecurity/tip/How-to-perform-a-data-risk-assessment-step-by-step

数据风险评估中的几个概念

       许多组织都了解保护个人身份信息的重要性，但并非所有组织都知道如何正确执行数据风险评估。以下是在组织中保护数据需要了解的内容。

       存储个人身份信息(PII)的组织对犯罪分子来说是一个有吸引力的目标。不幸的是，许多存储敏感数据的公司没有正确跟踪敏感数据及其存放位置，产生可利用的漏洞，从而导致代价高昂的数据泄露。

       作为一种保护措施，组织应定期进行数据风险评估，以审查和保护敏感信息。但是，什么是数据风险评估？执行数据风险评估的最佳方式是什么？

什么是数据风险评估？

       数据风险评估是组织审查其控制下的敏感数据的过程。这包括在组织的IT生态系统中存储、访问和管理的所有数据，包括所有平台、服务器和云环境。

什么构成敏感数据？

       在您的组织能够正确保护其敏感数据之前，您必须首先了解系统中包含的数据。这就是为什么正确的数据分类对于数据安全至关重要。

在决定哪些数据应列为敏感级别时，请谨记：

• -跨组织使用的数据类型

• -数据可能存放的位置

• -数据对组织的整体价值

• -您所在行业的法规合规需求

• -访问权限

       不幸的是，许多组织依赖于手动分类，如果分类指南在没有对受影响的信息进行适当更新的情况下更改，则手动分类很快就会过时。更糟糕的是，高达55%的组织数据是暗数据，这些数据要么未被使用，要么公司不知道自己拥有这些数据。

数据安全风险评估如何帮助保护组织

       数据风险评估可以发现您组织所拥有的敏感信息。此外，这种增加的可见性可以更好地了解组织可能面临的潜在风险，包括恶意的和意外的。       

       有效的数据安全风险评估计划的几个主要产出包括：

• -减少敏感信息的占用。这使得数据安全计划能够更有效地工作。

• -解决授权疏忽。数据风险评估可以暴露对敏感信息访问过多或过少的用户。在前一种情况下，可以减少访问以降低不适当访问的风险，而解决后一种情况可以提高组织效率。

• -制定适当的安全措施。有效的风险评估允许组织通过实施数据保护计划来解决安全缺陷。

• -降低运营成本。通过更好地理解其控制下的数据，组织可以将资源集中在关键数据和基础设施上。在发生数据泄露时，适当的计划还可以降低成本。

数据风险评估的组成部分

       数据风险评估可以分为三个不同的部分：发现、评估和行动。在许多情况下，这些步骤都是同时执行的，特别是在处理敏感数据的场景中。

       此外，应定期进行风险评估。尽管存在关于应该多久进行一次评估的各种建议，但业务的性质、所管理的数据以及以前评估的结果将决定您的企业应该多久进行一次安全评估。然而，应该注意的是，风险在任何情况下都不是静态的，评估的性质和频率应该是组织内持续的对话内容。

发现和分类组织数据

       如果没有正确的数据发现和分类实践，您的风险评估将是次优的。您必须知道所有数据的位置及其敏感性级别，以确保数据按照内部建立的框架进行分类。还要记住您可能遇到的任何监管要求。

       在确定分类级别时，应考虑以下变量：

• -机密性。谁应该访问数据？

• -价值。数据对组织操作有多重要，如果数据被未经授权的一方访问、修改或销毁，组织会遭受什么损害？

• -可用性。为了进行日常业务操作，数据必须有多容易获得，过于限制性的协议是否会阻碍操作？

       虽然一些组织选择手动处理这些分类任务，但这项工作通常是不可持续或不可扩展的，特别是在高度监管的环境中。由于需要用户输入和强制执行，分类变得缓慢、低效，并且无法适应不断变化的组织需求。出于这个原因，最好考虑一种自动化的分类方法，以确保获得可能的最佳结果。

评估数据安全风险

       安全风险可以有许多不同的形式。虽然勒索软件、网络钓鱼攻击或类似事件等直接攻击是一种明显且不断增长的威胁，但这些并不是数据泄露的唯一入口点。也不是所有的风险都可以归因于恶意。通常，意外的疏忽也同样危险。

       数据的常见风险包括:

• -密码管理不善。超过60%的入侵可以追溯到容易猜测或其他薄弱的密码。

• -第三方的访问。如果获得访问权限的外部方未能制定适当的数据安全措施，您的系统也可能受到威胁。

• -意外的访问。如果没有正确的的凭证管理，组织内的员工或其他个人可以有意或无意地访问敏感信息。

• -错放和被盗的端点设备。保存在笔记本电脑、硬盘驱动器或其他未加密设备上的数据很容易落入坏人之手。

       虽然这个列表并不详尽，但它代表了您的组织可能面临的威胁的一个样本。为了确定组织内的独特风险，您需要包括整个领导团队的观点，而不仅仅是IT部门的观点。通过引入额外的视角，您的组织将更好地准备应对威胁。

采取行动减轻风险和阻止威胁

       如果您的组织不能解决评估期间发现的风险，那么找到数据所在的位置并识别威胁都是徒劳。必须尽快解决对数据的威胁，以降低数据泄露和其他安全风险的可能性。从基本的端点安全到公司层面的全面政策变更，以下是您的组织可能需要解决风险的一些方法：

• -实施备份和数据加密等安全措施，以更好地保护数据。

• -创造一种认识到数据安全重要性的公司文化。

• -建立一个全面的数据泄露响应计划，以减轻损失并改善响应

• -通过强大的安全和隐私产品满足数据安全需求。

如何主动满足数据安全需求

       准备数据安全风险评估的最佳方法是使用为组织定制的解决方案来保护敏感数据。组织通过自动化、实时和持久的数据分类，采取前瞻性的方法来实现数据安全。这个坚实的基础为开始数据安全风险评估创造了理想的条件。

（完）