Cybersecurity: Effective Methods for Combating Data Breaches

Editions

Contact

1. Quality Insights Volume 2
2. Index
3. Remote Auditing

Subscriber only content
4. Why Should You Commit to Carbon Neutrality? _copy _copy
5. Profitable, Competitive and Fashionable: Sustainability in the Textile Industry

Subscriber only content
6. How will Cybersecurity Maturity Model Certification (CMMC) Affect U.S. Defense Contractors?

Subscriber only content
7. Simple Steps to Creating Safer Construction Sites
8. Understanding the Confusion Around U.S. Cosmetics Regulations
9. ANSWERING CONSUMER CONCERNS ABOUT FOOD PACKAGING
10. Cybersecurity: Effective Methods for Combating Data Breaches
11. EU Medical Device Regulation – Comparison to ISO 13485:2016

Subscriber only content

Open magazine

Editions

Contact

Hi!

Click here to subscribe or get in touch.

网络安全

网络安全:

打击数据泄露的有效方法

数据泄露是企业面临的日益严重的问题。它们可能造成财务和声誉损害，一些公司会发现无法从中恢复。组织可以使用哪些方法帮助他们保护其数据？

我们生活在一个数字时代。数据现在是一种商品，公司掌握大量有关其客户、供应商和员工的信息。他们有责任保护这些信息，然而 2018 年对 IT 高管的调查发现，大多数组织仅”适度准备好”来处理网络安全威胁。在12个月的时间里，估计77%的企业将处理数据泄露，花费行业超过1万亿美元。

恶意网络攻击只是非法或未经授权访问公司存储数据的方式之一。如果没有适当的网络安全，系统可能会因员工、不安全的移动设备、云存储应用程序和第三方服务提供商的行为而面临风险。违规有多种形式（勒索软件、恶意软件、网络钓鱼和拒绝服务），但它们进入公司系统的方式可能很简单，就像员工不由意地单击垃圾电子邮件中的链接一样简单。

谁受到影响？

简单的答案是每个人。据估计，每天有 700 万条数据记录被泄露。平均而言，单次数据泄露将影响 25K 条记录，平均成本为 326 万美元。IBM的一项研究显示，美国是数据泄露成本最高的国家，而最昂贵的行业是医疗保健。在数据泄露和身份盗窃方面，美国总排名第一，数据泄露事件其次是韩国，身份盗窃其次是法国。然而，这些数字需要根据人口规模来考虑，根据这个标准，荷兰和瑞典在数据泄露方面的比例过高。显然，对个别企业存在一致和有针对性的攻击，但从统计数据中可以明显看出，糟糕的网络安全以及由此引发的数据泄露会影响各种公司、各种规模和所有国家/地区。

乍一看，受害者和被攻击的系统似乎是随机的。在美国发生大规模数据泄露事件后，研究发现黑客可以轻松控制至少55，000个联网供暖、通风和空调（HVAC）系统。HVAC 系统周围的薄弱网络安全可用于访问其他网络，从而跨入主企业系统。据信，这条路线被用来窃取美国4000万张信用卡和借记卡的数据。黑客以前通过从零售商的 HVAC 系统的第三方服务提供商那里窃取必要的登录凭据而获得 HVAC 系统的访问权限。对许多人来说，似乎完全没有连接的东西——HVAC系统与财务记录——可能是黑客窃取数据的理想途径。

很显然，没有哪个行业能够免受这些代价高昂的数据泄露。制造业、教育业、零售业、公共部门、酒店业和金融行业都定期报告数据泄露，但最受影响的单一行业是医疗保健。据估计，八分之一的美国公民的医疗信息在某个时候会被暴露，主要动机是经济利益。这些威胁大多数（56%）是内部威胁，人为过失是泄漏的主要原因。

预防 – ISO/IEC 27001

ISO/IEC 27001 系列包含十多项标准，为希望管理其资产安全性的公司提供了一个适应性强的框架，包括财务信息、知识产权、员工详细信息以及第三方委托给公司的任何其他信息。

标准分为两部分：

• ISO/IEC 27001：2013（第 2 部分） – 信息安全管理系统（ISMS）的正式标准规范，要求认证的组织将对此进行审核。它包含组织认证必须满足的强制性要求。哪些控制措施与组织相关，是在进行全面风险评估后决定的。

• ISO/IEC 27002：2013 – 保护信息和相关资产的良好做法

这些标准符合附件 SL 流程模型结构，这有助于强化这样一个事实，即对于所有公司而言，信息安全管理是一个持续的过程，这也使该标准与其他 ISO 标准保持一致。

ISO/IEC 27001 有六个阶段的认证流程 – 定制提案、预审核、正式审计阶段 1 和 2、监督访问以检查系统、重新认证。认证表明组织符合有关保护和检索记录、安全保存测试数据、处理安全事件记录、保护系统审计工具、内部审计员的地位/培训/独立性以及他们获得高级管理层、信息安全程序文档的要求。

预防 – ISO/IEC 20000

该标准促进实施协调和综合的信息技术服务管理系统（SMS）。它通过突出机会、促进 SMS 中的持续改进和更高的效率来增强和组织系统。它通过在工作人员和程序之间提供更好的协调来实现这一点。

与 ISO/IEC 27001 一样，该标准主要有两个部分：
• ISO 20000-1 – 定义在对利益相关者提供可接受的管理服务的关系中评估组织的要求
• ISO 20000-2 – 个实务守则，描述了 ISO 20000-1 范围内服务管理流程的最佳做法

采用 ISO/IEC 27001 和 ISO/IEC 20000 不仅使公司的 IT 安全系统更加强大，它还将向员工、客户和其他利益相关者表明，您的组织认真对待 IT 服务管理。作为服务管理流程套件的一部分，其中特别提到信息安全，而标准又使信息安全更加有效。ISO 20000 认证的其他优势包括提供托管服务、衡量服务级别和评估其绩效的有效方法，并与 ITIL 有着紧密的联系。您将向客户保证，他们的服务要求得到满足，包括信息安全。在数字世界中，公司如何认真处理所掌握信息的安全性，可以带来声誉，也可以带来损失。

SGS 解决方案

SGS 在帮助组织提高网络安全方面处于领先地位。通过来自 604 家公司涵盖六年的有针对性的审计数据，我们了解企业中最常见的主要和次要不合格情况。

除了认证和审计服务外，我们还提供一系列培训课程，帮助组织理解和实施 ISO/IEC 27001 和 ISO/IEC 20000：