您需要牢记的三个加密原则

加密是安全专业人员中的热门话题,有时是两极分化的话题。围绕该过程存在许多误解,而且这些误解通常会使人们对它的复杂性的看法产生偏差。

原理加密

例如,我们遇到了许多IT和业务负责人,他们认为由于他们无法加密一条重要信息(例如联系人的生日),因此根本不值得加密任何信息。这是一个荒谬的逻辑飞跃,但这并不少见。

其他人则认为加密字段使它们无用。您无法报告加密字段,对吗?放松!您可以将它们完美地包含在报告中;您将无法以完全相同的方式过滤它们。

尽管每个人对于用户查看加密数据点时应看到的内容都有自己的见解,但重要的是要注意平台加密发生在磁盘级别。正确完成后,对最终用户基本上完全透明。

关于哪个平台也存在分歧 加密方案 更安全。许多人认为确定性加密不如概率方案安全,我谨对此表示不同意。确定性和概率方案使用相同的算法,并且通常执行相同的操作。前者只允许更多的系统功能。

这些误解并不是天生的问题,但如果持续时间太长,则会对组织安全产生负面影响。

感知与现实

加密不是解决方案–这是一个工具。如果您认为购买加密将使您可以向内部用户隐藏数据,那么您将失去重点。磁盘级加密与内部用户可见性无关–它只是应该采用全面的数据安全方法来防止数据库级数据丢失的一个组成部分。

为了 部署加密 有效地,安全专业人员首先需要对他们系统中的信息有完整的了解。然后,他们需要按照组织的方式对信息进行分类,以准确显示哪些字段需要加密,哪些字段可能不需要加密’s policies.

在决定对字段进行加密时,不可避免地会遇到平台限制。在继续进行加密之前,请始终确保完全了解加密的副作用。认真对待这些警告,但要知道加密并不像您想象的那样复杂和可怕。此外,还有大量工具可帮助您简化流程。

如果您是 首席信息官 或安全主管想知道是否应将加密作为强大的组织安全策略的一部分,请牢记以下三个原则:

1.上下文很重要

通常,数据本身并不宝贵,但是当数据与其他数据相邻时,情况可能会发生变化。例如,如果您有一个名为“社会安全号码”包含6亿个社会保险号,仅此而已,价值不大。仅有6亿个9个字符的数字。但是,当这些数字中的每一个都与名字和姓氏并列时,情况就完全不同了。在进行加密之前,请始终考虑数据与其他数据如何共存。

2.分类,然后加密

只有透彻地了解上下文 数据分类。原型客户端将购买平台加密工具,并声明必须立即加密每个字段。踩刹车!您不需要或不想加密每个字段。相反,请遵循以下方法:“停止,思考,评估和继续。”在加密之前,了解加密的副作用至关重要。否则,您充其量只能为自己创造更多的工作,而最糟糕的是要解决很大的问题。唐’如果可以的话,潜入游泳池的深处’t swim.

3.牢记结尾

它需要重复:加密只是组织更广泛的安全状况的一个组成部分。制定平台安全性的基线目标,并通过某种方式衡量实现该目​​标的进度。例如,如果您想提高Salesforce实例的安全性,则首先需要找到差距或缺陷。与您的安全,法规遵从和法律团队联系,以了解您如何使用Salesforce以及将来如何使用它。

什么’阻止您到达那里?在知道数据保护方面要做什么之前,不要开始进行更改。数据清单是一个很好的起点,并且诸如Salesforce之类的平台具有您需要确保组织数据安全的许多功能。在实施自己的好主意之前,请充分利用这些优势。

加密可能很有价值 安全工具 可能还不如您复杂’我听说过。但是,’不是安全灵丹妙药,您不应该’像对待它一样。相反,应从较高的角度了解您想要的安全状态,并确定加密是否可以帮助您实现这一目标。了解有关流程的误解将帮助您做出最佳决策,也许可以使您免于严重的头痛。

分享这个