数据可以为世界经济提供动力。网络罪犯深知此类数据的价值,意在窃取敏感信息的网络攻击(或者在勒索软件的情况下,将数据作为人质)已经变得越来越普遍,极具破坏性且代价高昂。根据 IBM 的《2021 年数据泄露成本报告》,2020-2021 年数据泄露的平均总成本已创下新高,达到 424 万美元。
数据泄露会在多各方面为受害者造成损失。意外停机时间会导致业务损失。当客户的敏感信息被泄露时,公司往往会失去客户,并遭受重大、有时甚至无法弥补的声誉损害。窃取知识产权会损害公司的盈利能力,并削弱其竞争优势。
数据泄露受害者还可能面临监管罚款或法律处分。《通用数据保护条例》(GDPR) 等政府法规和《健康保险流通和责任法案》(HIPAA) 等行业法规均要求公司保护其客户的敏感信息,否则可能会导致巨额罚款。因为 2017 年的数据泄露事件,Equifax 同意向联邦贸易委员会 (FTC)、消费者金融保护局 (CFPB) 和全美 50 个州支付至少 5.75 亿美元的罚款;2021 年 10 月,英国航空公司因 2018 年数据泄露相关的 GDPR 违规事件被罚款 2600 万美元。
毫不意外,企业在信息安全技术和人才方面的投资比以往任何时候都要多。Gartner 估计,2021 年信息安全与风险管理技术和服务方面的支出总额为 1504 亿美元,比 2020 年增长 12.4%。监督信息安全工作的首席信息安全官 (CISO) 已成为企业高级管理层的固定成员。而且,对持有高级信息安全认证的信息安全分析师的需求正在上升,例如 (ISC)² 的认证信息系统安全专业人员 (CISSP) 认证。美国劳工统计局预计,截至 2030 年,获得这类认证的分析师就业人数将增长 33%。
信息安全实践以数十年来不断演变的原则为基础,这些原则也为信息系统安全和风险缓解设定了标准。
CIA 三要素于 1977 年推出,旨在指导组织选择技术、政策和事件,以便保护其信息系统 - 硬件、软件,以及参与生产、存储、使用和交换公司信息技术 (IT) 基础架构中的数据的人员。三要素包括:
机密性:确保各方无法访问他们无权访问的数据。机密性是一个连续统一体,从有权访问公司大部分数据的特权内部人员,到获得授权的外部人员,仅限查看公众获得授权或允许查看的信息。
完整性:确保公司数据库中包含的所有信息完整准确,且未被篡改。完整性适用于从防止对手故意篡改数据到防止善意用户以未经授权的方式有意或无意地更改数据的所有方面。
可用性:确保用户可以在需要时访问他们已获得授权访问的信息。可用性规定,信息安全措施和策略不应干扰授权的数据访问。
在信息系统中,实现和维护数据的机密性、完整性和可用性的持续过程被称为“信息保障”。
信息安全专业人员通过创建信息安全计划,将信息安全原则应用于信息系统。这是旨在实施信息保障的信息安全政策、保护措施和计划的集合。
信息安全计划的创建通常从网络风险评估开始。通过审计公司信息系统的各个方面,信息安全专业人员可以准确了解他们面临的风险,并选择最合适的安全措施和技术来减轻风险。网络风险评估通常包括:
识别漏洞。漏洞是信息技术 (IT) 基础架构中的任何弱点,对手可以利用这些弱点对数据进行未经授的访问。例如,黑客可以利用计算机程序中的错误将恶意软件或恶意代码注入到其他合法的应用程序或服务中。
人类用户也可能成为信息系统中的漏洞。例如,网络罪犯可能会通过网络钓鱼等社会工程攻击来操纵用户共享敏感信息。
信息安全专业人员经常采用渗透测试(对自身信息系统的模拟攻击)来发现这些漏洞。
识别威胁。威胁是指任何可能危及信息系统机密性、完整性或可用性的因素。
网络威胁是指利用数字漏洞的威胁。例如,拒绝服务 (DoS) 攻击就是一种网络威胁,网络罪犯通过流量淹没了公司的一部分信息系统,导致其崩溃。
威胁也可以是物理威胁。自然灾害、人身或武装攻击,甚至系统性硬件故障,均被视为对公司信息系统的威胁。