ความปลอดภัยของข้อมูลคืออะไร | การรับรองและงาน

ความปลอดภัยของข้อมูลซึ่งย่อมาจาก InfoSec เป็นชุดของขั้นตอนที่ออกแบบมาเพื่อปกป้องข้อมูลจากการเข้าถึงหรือการเปลี่ยนแปลงที่ไม่ได้รับอนุญาตทั้งที่จัดเก็บและส่งจากอุปกรณ์หรือตําแหน่งทางกายภาพหนึ่งไปยังอีกอุปกรณ์หนึ่ง คุณอาจเห็นการป้องกันข้อมูลในบางครั้ง
เมื่อหน่วยสืบราชการลับกลายเป็นหนึ่งในสินทรัพย์ที่สําคัญที่สุดของศตวรรษที่ 21 ความพยายามในการรักษาความปลอดภัยของข้อมูลจึงมีความสําคัญมากขึ้น

สถาบัน SANS ให้คําจํากัดความที่ค่อนข้างกว้างขึ้น:

“ความปลอดภัยของข้อมูลหมายถึงกระบวนการและวิธีการที่ได้รับการออกแบบและดําเนินการเพื่อปกป้องการพิมพ์อิเล็กทรอนิกส์หรือข้อมูลลับส่วนตัวและข้อมูลที่ละเอียดอ่อนในรูปแบบอื่น ๆ จากการเข้าถึงการใช้การใช้ในทางที่ผิดการเปิดเผยการทําลายการปรับเปลี่ยนหรือการหยุดชะงัก”

ความปลอดภัยของข้อมูลกับความปลอดภัยทางไซเบอร์

เนื่องจากความปลอดภัยของข้อมูลได้กลายเป็น buzzphrase ขององค์กรที่ได้รับการยอมรับซึ่งหมายถึง “คอมพิวเตอร์และสิ่งที่เกี่ยวข้อง” คุณจึงสามารถดูการใช้ความปลอดภัยของข้อมูลและความปลอดภัยทางไซเบอร์แบบเปลี่ยนได้
ความปลอดภัยทางไซเบอร์โดยทั่วไปคือการปฏิบัติที่กว้างขึ้นในการปกป้องสินทรัพย์ด้านไอทีจากการโจมตีและภายใต้เงื่อนไขความปลอดภัยทางไซเบอร์ความปลอดภัยของข้อมูลเป็นวินัยเฉพาะ
กิจกรรมน้องสาวของ InfoSec คือความปลอดภัยของเครือข่ายและความปลอดภัยของแอปพลิเคชันโดยมุ่งเน้นไปที่เครือข่ายและรหัสแอพตามลําดับ

ที่นี่มีการทับซ้อนกัน หากข้อมูลที่ส่งผ่านเครือข่ายที่ไม่น่าเชื่อถือหรือถูกเอารัดเอาเปรียบโดยแอปพลิเคชันที่รั่วไหลอาจไม่ได้รับการป้องกัน นอกจากนี้ยังมีข้อมูลมากมายที่ต้องได้รับการรักษาความปลอดภัยและไม่ได้จัดเก็บทางอิเล็กทรอนิกส์
ดังนั้นการส่ง InfoSec pro จึงกว้างโดยเนื้อแท้

หลักการรักษาความปลอดภัยข้อมูล

สิ่งที่เรียกว่า CIA triad บ่อยที่สุดสรุปองค์ประกอบพื้นฐานของความปลอดภัยของข้อมูล:

1. การรักษาความลับ

การรักษาความลับอาจเป็นแง่มุมของ Triad ที่นึกถึงเกือบจะในทันทีเมื่อคุณคิดถึงความปลอดภัยของข้อมูล
ข้อมูลจะเป็นความลับหากสามารถทําได้โดยผู้ที่ได้รับอนุญาตให้เข้าถึงเท่านั้น คุณจําเป็นต้องแยกแยะว่าใครกําลังพยายามเข้าถึงข้อมูลและบล็อกความพยายามของผู้ที่ไม่ได้รับอนุญาตในการรักษาความลับ
วิธีการทั้งหมดที่ออกแบบมาเพื่อรับรองความลับคือรหัสผ่านการเข้ารหัสการตรวจสอบสิทธิ์และการป้องกันการโจมตีการบุกรุก

2. ความซื่อสัตย์

ท้ายที่สุดแฮ็กเกอร์ไม่สามารถแก้ไขข้อมูลที่พวกเขาไม่สามารถเข้าถึงได้ แต่ทรัพยากรอื่น ๆ ช่วยให้การป้องกันความสมบูรณ์ที่ครอบคลุม: checksums สามารถช่วยคุณตรวจสอบความสมบูรณ์ของข้อมูลตัวอย่างเช่นซอฟต์แวร์ควบคุมเวอร์ชันและการสํารองข้อมูลปกติจะช่วยให้คุณกู้คืนข้อมูลให้อยู่ในสถานะที่ถูกต้องตามความเหมาะสม
วิธีการหลายอย่างที่รับประกันการรักษาความลับจะช่วยให้มั่นใจได้ถึงความสมบูรณ์ของข้อมูล ความซื่อสัตย์ยังครอบคลุมหลักการของการไม่ปฏิเสธ: คุณต้องสามารถแสดงให้เห็นว่าโดยเฉพาะอย่างยิ่งในบริบททางกฎหมายคุณได้ยึดถือความสมบูรณ์ของบันทึกของคุณ

3. ความสะดวก

ความพร้อมใช้งานคือภาพสะท้อนการรักษาความลับ: ในขณะที่คุณต้องตรวจสอบให้แน่ใจว่าผู้ใช้ที่ไม่ได้รับอนุญาตไม่สามารถเข้าถึงข้อมูลของคุณได้คุณต้องตรวจสอบให้แน่ใจว่าผู้ที่มีสิทธิ์ที่ถูกต้องสามารถเข้าถึงได้ การสร้างความพร้อมใช้งานของข้อมูลต้องปรับสมดุลปริมาณการเข้าถึงข้อมูลที่คุณคาดหวังจากทรัพยากรเครือข่ายและคอมพิวเตอร์และบังคับใช้กลยุทธ์การสํารองข้อมูลที่ดีสําหรับวัตถุประสงค์ในการกู้คืนความเสียหาย

ข้อมูลของคุณจะต้องถูกเก็บไว้เป็นส่วนตัวเสมอในสถานะที่ถูกต้องและใช้งานได้ในโลกในอุดมคติ ในความเป็นจริงคุณต้องเลือกมาตรฐานของข้อมูลที่จะจัดลําดับความสําคัญ
ที่ช่วยให้สามารถวิเคราะห์ข้อมูลได้ ตัวอย่างเช่นหากคุณจัดเก็บข้อมูลทางการแพทย์ที่ละเอียดอ่อนคุณจะมุ่งเน้นไปที่การรักษาความลับ
ในขณะเดียวกันสถาบันการเงินสามารถจัดลําดับความสําคัญของความสมบูรณ์ของข้อมูลเพื่อให้แน่ใจว่าบัญชีธนาคารของไม่มีใครได้รับเครดิตหรือเดบิตผิด

นโยบายความปลอดภัยของข้อมูล

นโยบายความปลอดภัยจะใช้รูปแบบของวิธีการนําแนวคิดเหล่านี้ไปใช้กับเอนทิตี
นี่ไม่ใช่ชิ้นส่วนของฮาร์ดแวร์หรือซอฟต์แวร์เพื่อความปลอดภัย แต่เป็นคู่มือที่องค์กรจัดทําขึ้นเพื่อตัดสินใจว่าข้อมูลใดที่ต้องได้รับการรักษาความปลอดภัยและในทางใดตามความต้องการและแปลกประหลาดที่เป็นเอกลักษณ์ของตัวเอง
นโยบายเหล่านี้ชี้นําการตัดสินใจของ บริษัท เกี่ยวกับการรับทรัพยากรความปลอดภัยทางไซเบอร์และควบคุมความประพฤติและภาระหน้าที่ของพนักงาน

นโยบายความปลอดภัยของข้อมูลธุรกิจควรมี:

1. คําแถลงสรุปวัตถุประสงค์ของโปรแกรม InfoSec และเป้าหมายโดยรวมของคุณ

2. คําจํากัดความของคําหลักที่ใช้เพื่อให้แน่ใจว่ามีการตีความซึ่งกันและกันในเอกสาร

3. นโยบายการควบคุมการเข้าถึงระบุว่าใครสามารถเข้าถึงข้อมูลใดและสิทธิของพวกเขาสามารถกําหนดได้อย่างไร

4. แนวทางรหัสผ่าน

5. เพื่อให้แน่ใจว่าข้อมูลยังคงสามารถเข้าถึงได้สําหรับผู้ที่ต้องการการสนับสนุนข้อมูลและแผนการดําเนินงาน

6พนักงานและหน้าที่ของคนงานเมื่อพูดถึงความปลอดภัยของข้อมูลและผู้รับผิดชอบด้านความปลอดภัยของข้อมูล

สิ่งสําคัญอย่างหนึ่งที่ต้องจําไว้คือกลยุทธ์ความปลอดภัยของคุณต้องปกป้องมากกว่าสินทรัพย์ที่คุณเป็นเจ้าของในสภาพแวดล้อมที่ธุรกิจจํานวนมากจ้างบริการข้อมูลบางอย่างหรือจัดเก็บข้อมูลในระบบคลาวด์
ตั้งแต่ข้อมูลที่สามารถระบุตัวบุคคลได้ซึ่งเก็บไว้ในอินสแตนซ์ AWS ไปจนถึงผู้ขายบุคคลที่สามที่ต้องการรับรองความถูกต้องเพื่อเข้าถึงข้อมูลขององค์กรที่เป็นความลับ คุณจําเป็นต้องทราบว่าคุณสามารถจัดการกับอะไรได้บ้าง

มาตรการเพื่อความปลอดภัยของข้อมูล

ดังที่ควรจะเห็นได้ชัดในตอนนี้เพียงเกี่ยวกับมาตรการทางเทคโนโลยีที่เกี่ยวข้องกับความปลอดภัยทางไซเบอร์ทั้งหมดใช้กับความปลอดภัยของข้อมูลในระดับหนึ่ง
ถึงกระนั้นมันก็คุ้มค่าที่จะคิดเกี่ยวกับมาตรการ InfoSec ในทางใหญ่:

1. ฮาร์ดแวร์และซอฟต์แวร์รักษาความปลอดภัยข้อมูลทุกอย่างตั้งแต่การเข้ารหัสไปจนถึงไฟร์วอลล์เป็นขั้นตอนทางเทคโนโลยี

2. ขั้นตอนขององค์กร รวมถึงการสร้างหน่วยบริหารที่ทุ่มเทให้กับข้อมูลและรวมข้อมูลเข้ากับบทบาทของแต่ละแผนก

3. การกระทําของมนุษย์รวมถึงการให้ผู้บริโภคได้รับการฝึกอบรมการรับรู้เกี่ยวกับแนวทางปฏิบัติ InfoSec ที่ถูกต้อง

4. การควบคุมทางกายภาพต้องมีการควบคุมการเข้าถึงที่ตั้งสํานักงานและศูนย์ข้อมูลโดยเฉพาะ

งาน

ไม่มีความลับใดที่งานรักษาความปลอดภัยทางไซเบอร์เป็นที่ต้องการสูงและตามคู่มือความปลอดภัยด้านไอทีของ Mondo ความปลอดภัยของข้อมูลอยู่ในอันดับต้น ๆ ของรายการรับสมัครของ CIO ทุกคนในปี 2019
มีเหตุผลสําคัญสองประการ การละเมิดความปลอดภัยระดับสูงจํานวนมากส่งผลให้เกิดอันตรายต่อการเงินและความน่าเชื่อถือขององค์กร ธุรกิจส่วนใหญ่ยังคงจัดเก็บข้อมูลลูกค้าและเสนอการเข้าถึงไปยังแผนกต่างๆมากขึ้นเรื่อย ๆ เพิ่มพื้นผิวการโจมตีที่อาจเกิดขึ้นและทําให้มีโอกาสมากขึ้นเรื่อย ๆ ว่าพวกเขาจะเป็นเป้าหมายต่อไป

ในฟิลด์ของ Infosec มีชื่องานที่แตกต่างกันหลายชื่อ ในอุตสาหกรรมที่แตกต่างกันตําแหน่งงานเดียวกันอาจหมายถึงสิ่งต่าง ๆ และคุณควรคํานึงถึงข้อแม้ของเราจากด้านบน: หลายคนใช้ “ข้อมูล” เพื่อหมายถึง “สิ่งของคอมพิวเตอร์” ดังนั้นตําแหน่งเหล่านี้บางส่วนจึงไม่ถูก จํากัด ในแง่ที่เข้มงวดเพียงความปลอดภัยของข้อมูล แต่เราสามารถสรุปได้ทั่วไป

นักวิเคราะห์ความปลอดภัยของข้อมูล: งานและเงินเดือน

ลองดูที่งานดังกล่าว: การวิเคราะห์ความปลอดภัยของข้อมูลโดยทั่วไปจะไปสู่เส้นทางระดับเริ่มต้นสําหรับ InfoSec
คริสติน่า วู้ด จาก CSO อธิบายผลงานดังนี้

โดยปกติแล้วนักวิเคราะห์ความปลอดภัยจะจัดการกับการปกป้องข้อมูล (การป้องกันการสูญเสียข้อมูล [DLP] และการจําแนกประเภทข้อมูล) และการป้องกันภัยคุกคามรวมถึงความปลอดภัยของข้อมูลและการจัดการเหตุการณ์ (SIEM) การวิเคราะห์พฤติกรรมของผู้ใช้และองค์กร [UEBA], ระบบตรวจจับการบุกรุก / กลไกการป้องกันการบุกรุก (IDS / IPS) และการทดสอบการเจาะ งานหลัก ได้แก่

1.การจัดการมาตรการรักษาความปลอดภัยและการควบคุม

2. การตรวจสอบการเข้าถึงความปลอดภัย

3. การดําเนินการตรวจสอบความปลอดภัยทั้งภายในและภายนอก

4. การตรวจสอบการละเมิดความปลอดภัย

5. คําแนะนําของเครื่องมือและขั้นตอน

6. การใช้ซอฟต์แวร์

7. การสอนเรื่องการตระหนักถึงความปลอดภัย และ

8. การประสานงานด้านความปลอดภัยกับซัพพลายเออร์ภายนอก

นักวิเคราะห์ความปลอดภัยของข้อมูลเป็นหนึ่งในตําแหน่งที่มีผู้สมัครไม่เพียงพอที่จะตอบสนองความต้องการของพวกเขา
ตําแหน่งงานว่างมากกว่า 100,000 ตําแหน่งในสหรัฐอเมริกาสําหรับนักวิเคราะห์ความปลอดภัยของข้อมูลในปี 2017 และ 2018 ไม่ได้รับการเติม
สิ่งนี้ชี้ให้เห็นว่านักวิเคราะห์ infosec เป็นงานร่ํารวย: เงินเดือนมัธยฐานถูกตรึงไว้ที่ $ 95,510 โดยสํานักงานสถิติแรงงาน (PayScale.com มีต่ํากว่าเล็กน้อยที่ $ 71,398)

หลักสูตรและการฝึกอบรม

เราจะได้รับความปลอดภัยของข้อมูลได้อย่างไร วิทยาการคอมพิวเตอร์ระดับปริญญาตรีไม่เจ็บ แต่ไม่ใช่วิธีเดียวที่จะเข้ามา เทคโนโลยียังคงเป็นอุตสาหกรรมที่มีส่วนร่วมในโครงการโอเพ่นซอร์สหรือกลุ่มแฮ็คเช่นสามารถทําหน้าที่เป็นบัตรโทรศัพท์ที่มีค่า

อย่างไรก็ตาม Infosec กําลังเป็นมืออาชีพมากขึ้นซึ่งหมายความว่าองค์กรต่างๆให้มากขึ้นผ่านใบรับรองอย่างเป็นทางการ
ระดับบัณฑิตศึกษาที่เน้นความปลอดภัยของข้อมูลขณะนี้มีให้โดยมหาวิทยาลัยหลายแห่ง โปรแกรมเหล่านี้อาจเหมาะสําหรับผู้ที่อยู่ในสาขาที่ต้องการพัฒนาประสบการณ์ของพวกเขาและแสดงให้เห็นว่าพวกเขามีสิ่งที่จะปีนบันได

หลักสูตรออนไลน์ฟรีและต้นทุนต่ําของ InfoSec อยู่ที่ปลายอีกด้านหนึ่งของสเปกตรัมซึ่งทั้งหมดค่อนข้างแคบ Tripwire แบ่งผู้ให้บริการที่ได้รับการยอมรับอย่างกว้างขวางสิบเอ็ดรายซึ่งให้บริการหลักสูตรความปลอดภัยของข้อมูลซึ่งอาจคุ้มค่ากับเวลาและความพยายามของคุณ โลกของการฝึกอบรมออนไลน์เป็นสิ่งที่ป่าตะวันตก

รับรอง

คุณอาจต้องการดูคุณสมบัติด้านความปลอดภัยของข้อมูลหากคุณอยู่ในสนามแล้วและต้องการติดตามแนวโน้มล่าสุดทั้งเพื่อประโยชน์ของคุณเองและเป็นสัญญาณให้กับนายจ้างในอนาคต
ในบรรดาการรับรองชั้นนําสําหรับนักวิเคราะห์ด้านความปลอดภัยของข้อมูลคือ:

1. ผู้ปฏิบัติงานที่ได้รับการรับรองความปลอดภัยของระบบ (SSCP)

2. ผู้เชี่ยวชาญด้านไซเบอร์ที่ได้รับการรับรอง (CCP)

3.ได้รับการรับรองระบบความปลอดภัยของระบบข้อมูลมืออาชีพ( cissp)

4. แฮ็กเกอร์ที่มีจริยธรรมที่ได้รับการรับรอง (CEH)

การฝึกอบรมที่ได้รับการรับรอง 5GCHQ (GCT)

READ:  จะมั่นใจในความปลอดภัยทางไซเบอร์ขณะเดินทางไอด้ย่างไร

Be the first to comment

Leave a Reply

Your email address will not be published.


*