kavin

数据访问管理基础和实施策略

kavin 安全防护 2023-01-14 307浏览 0

规范对数据的访问是数据治理的最重要方面之一。因此,数据访问管理已经演变成一项独立的计划,需要自主的战略、预算和实施计划。 在许多方面,数据访问管理或数据访问治理可以被认为是数据治理计划的最重要成果,因为它涵盖了许多关键领域。其中包括维护数据安全、保护 PII、提供对关键数据资产的访问、管理权限等。

数据访问管理是什么意思?

数据访问管理是组织进行的一个过程,用于确定谁可以访问哪些数据资产。使公司能够保护机密信息、定义数据所有权并实施托管访问控制,使用户能够实现数据驱动的创新。 该过程控制谁可以访问哪些数据、何时可以访问以及如何访问,还列出了实现这一结果所需的模型、方法和技术。 如果没有管理良好的访问权限,用户将无法检索他们需要的信息,在数据资产上进行协作几乎是不可能的,数据所有者不对他们所关心的数据负责,并且不合规的风险很高。 按照数据治理,数据访问管理至关重要。如果没有妥善管理的访问权限,用户将无法检索他们需要的信息,在数据资产上进行协作几乎是不可能的,数据所有者不对他们所关心的数据负责,并且不合规的风险很高。

为什么访问管理是整体数据战略的重要组成部分

解释数据访问管理重要性的最佳方式是通过行业示例。在这种情况下,一家公司希望为客户构建一个具有潜在收入来源的分析解决方案。该公司组建了一个团队,并要求提供客户的业务数据。 但是,无法直接访问数据。这需要大量的努力和向各个部门提出的大量问题,最终,三个月后,清理的数据被呈现出来。这是数据访问受到限制时发生的情况的一个示例,但还有更多示例。 许多人可能认为数据治理主要是支持数据访问管理的一种手段。不是,但虽然有数据治理的许多其他领域,数据访问管理是最重要的之一。 当用户正确管理数据访问时,他们将获得工具和知识来查找他们需要的数据以更有效地工作。工具可以采用数据管理平台的形式。同时,用户可以通过一系列管理业务用户应如何访问组织中数据的策略来分发知识。 良好的数据访问管理可确保跨部门甚至外部实体都可以使用数据。对于现代企业而言,数据驱动创新增长的关键是协作。 数据访问管理对于定义数据所有权也至关重要。一旦团队确定了数据所有者,就必须制定特定规则来管理他们负责的数据的管理和维护方式。如果不这样做,公司就有可能丢失数据。 数据访问管理对于定义数据所有权也至关重要。一旦团队确定了数据所有者,他们就必须制定特定规则来管理他们负责的数据的管理和维护方式。如果不这样做,公司就有可能丢失数据。 最重要的是,数据访问管理使企业所有者能够保护 PII 和其他机密或敏感数据。它通过仅允许经过验证的用户访问特定数据集来实现这一点。如果这些措施不到位,则存在暴露数据的真正风险,公司可能会因不合规而面临巨额处罚。

组织进行数据访问管理所面临的挑战

在许多情况下,用户的部门负责人无法授予他们访问部门数据的权限。存在这种情况是因为没有人可以确定谁负责访问数据,并且自动化和工作流都不存在。 相反,用户需要通过 IT 团队。通常有大量积压,用户必须等待数周甚至数月才能得到回复。 如果没有工作流,就没有结构。因此,即使领导可以确认你的身份并且需要访问权限,如果请求的数据包含 PII,仍然需要有人授予对 PII 的访问权限。 当明确定义的策略到位时,很容易确定用户是谁以及访问权限。例如,每个人都可以访问公共数据,PII 数据需要 info sec 批准,机密数据需要 HR 批准。这种易于访问是识别数据所有者如此重要的核心原因,使业务用户(即使这些业务用户是数据管理员)能够独立于 IT 授予对信息的访问权限。

实施成功的数据访问管理的步骤

实施数据访问管理计划有一系列关键步骤,已经将其按顺序排列在这里。 数据访问管理基础和实施策略

1. 发现和分类敏感数据

数据访问管理策略的第一步是确定所有数据的存储位置。一旦你发现,需要采取进一步的步骤来标记、分类和评分它的敏感性。 当数据是正确分类,可以集中精力保护最敏感的数据资产。将能够更有效地查明资源和工作。 一旦知道所有数据的存储位置和内容,就可以删除任何冗余数据资产。这个初始过程的最后一步是进行风险评估。

2.分配访问控制

利用在数据访问管理计划的第一阶段完成的风险评估,可以为各个业务用户创建访问控制。但是,与其逐个用户授予访问权限,不如根据定义的角色、职责和分类来分配权限。 当明确定义的策略到位时,很容易确定用户是谁以及访问权限。 这种方法更容易管理并且需要更少的投资。访问组可能会分为管理员或经理等类别。关键是不要授予任何用户访问权限,除非他们明确需要。

3.分析用户行为

下一步是建立一系列分析技术来监控用户行为,分析应该是一个持续的过程。 目的是分析业务用户如何更改、复制、创建或删除贵公司系统中的敏感数据。此分析将能够确定用户是否有权进行他们所做的修改以及是否需要撤消任何更改。 当承诺持续监控用户时,可以快速识别任何潜在的数据安全威胁并采取行动。

4. 审查合规要求

遵守是成功数据治理的关键成果。而且,正如我们在本文前面提到的,与数据访问管理直接相关。需要做的第一件事是确定哪些法规适用于组织。 当完成上面概述的所有步骤时,不太可能违反任何合规性法规。但是,对于许多监管机构来说,仍然需要通过填写合规证书来证明这一点。

数据访问管理的最佳实践

创建清单:必须为组织中有权访问数据的每个人创建清单。将能够跟踪数据使用情况并记录对数据访问的任何更改。 确定数据所有权和位置:良好的数据访问管理的一个基本部分是确定数据存储在哪里以及由谁负责。当不识别数据所有者时,数据可能会被滥用甚至丢失。还应该为数据所有权责任制定奖励制度,以激励数据所有者。 创建安全组:在组织中维护数据访问安全的最佳方法之一是创建一系列安全组。这些小组可以监督数据访问,并且必须包括来自处理数据的每个公司部门的代表。 进行定期审核:除非定期审核数据用户和所有者的活动,否则将无法跟踪策略的成功。 创建认证计划:如果安装访问认证计划,可以确保用户正确使用数据并具有所需的读写能力。

成熟的数据治理工具增加了便利性

当公司使用数据治理工具时,数据访问管理会更加有效且劳动强度更低。数据治理工具可以毫不费力地轻松找到数据源并将其编目在一个位置。

结论

如果没有足够的数据访问管理策略,数据治理计划将会失败。数据访问不仅仅是保护敏感数据。如果没有适当的访问管理,就不能期望用户从他们所掌握的数据中获得潜在价值。 但是,不能直接参与数据管理计划。就像一个成熟的数据治理计划一样,它必须有条不紊地进行衡量和执行。

继续浏览有关 安全 的文章
发表评论