Publikacja CSA na temat cyberbezpieczeństwa i cyklu życia danych

W dzisiejszym hiperpołączonym świecie dane stanowią rdzeń operacyjny nowoczesnych przedsiębiorstw cyfrowych. opublikowało dokument „Cybersecurity and the Data Lifecycle”, w którym opisano, w jaki sposób organizacje muszą zarządzać, zabezpieczać, klasyfikować, przetwarzać i usuwać dane przez cały okres ich istnienia.

Główny cel publikacji:

CSA zapewnia ustrukturyzowany 8-fazowy model do oceny i zabezpieczenia całego cyklu życia danych:

Tworzenie - w tym walidacja danych wejściowych, szyfrowanie podczas zapisu i rejestrowanie

Przechowywanie - bezpieczne konfiguracje, kopie zapasowe i kontrola dostępu

Użycie - prawa dostępu, bezpieczne przetwarzanie, izolacja i rejestrowanie audytu

Udostępnianie - bezpieczne interfejsy API, egzekwowanie klasyfikacji, redakcja, kontrola zasad

Archiwizacja - szyfrowanie długoterminowe, zarządzanie przechowywaniem, monitorowanie dostępu

Transport - bezpieczne protokoły transmisji, tunelowanie i weryfikacja integralności

Zachowywanie - prawne przechowywanie, niezmienność, zgoda i zasady przechowywania.

Utylizacja - weryfikowalne usuwanie, bezpieczne wymazywanie i certyfikacja utylizacji.

Raport zawiera różne ramy:

NIST 800-53, ISO/IEC 27001/2

GDPR, HIPAA, PCI DSS

COBIT, CSA Cloud Controls Matrix (CCM)

Obejmuje również mapowanie zagrożeń dla każdego etapu (np. błędna klasyfikacja, shadow IT, nieaktualne dane, niezabezpieczony transport) oraz praktyczne strategie ograniczania ryzyka.

Wszyscy wiemy, że dane są krwiobiegiem każdego systemu IT. Bez wysokiej jakości, zaufanych danych nie możemy przekształcić ich w wiarygodne informacje, a bez wiarygodnych informacji podejmowanie świadomych decyzji i budowanie wiedzy staje się niemożliwe. W tym tygodniu przeprowadziłem dwudniową sesję szkoleniową dla audytorów wewnętrznych przygotowujących się do egzaminu The Institute of Internal Auditors Inc. CIA, koncentrując się w szczególności na części 3, która obejmuje IT i bezpieczeństwo. Jednym z kluczowych obszarów, które badaliśmy, był ład danych i zarządzanie danymi - fundamentalny temat, któremu często nie poświęca się należytej uwagi. Podczas gdy pojęcia takie jak jakość danych, dostępność, wiarygodność, poufność i integralność są drugą naturą dla specjalistów IT, są one czasami niedoceniane na stanowiskach związanych z audytem, ryzykiem i zgodnością. Właśnie dlatego ta publikacja CSA jest tak cenna - wyjaśnia dane nie tylko dla działu IT, ale także dla specjalistów ds. audytu, zgodności i ryzyka. Skupienie się na klasyfikacji, integralności, dostępności, przechowywaniu i bezpiecznym usuwaniu danych pomaga wszystkim dostosować cyberbezpieczeństwo do wyników operacyjnych.

Dostęp do publikacji

Autor: Sebastian Burgemejster