Vòng đời dữ liệu

Các tổ chức thuộc mọi quy mô xử lý một lượng lớn dữ liệu phải được đảm bảo riêng tư. Bạn đã học được rằng dữ liệu có thể dễ bị tấn công cho dù đang ở trạng thái tĩnh, đang được sử dụng hoặc đang truyền tải. Bất kể ở trạng thái nào, thông tin cần được đảm bảo riêng tư bằng cách hạn chế quyền truy cập và ủy quyền.

Trong bảo mật, các lỗ hổng dữ liệu thường được ánh xạ trong một mô hình được gọi là vòng đời dữ liệu. Mỗi giai đoạn của vòng đời dữ liệu đều đóng một vai trò quan trọng trong biện pháp kiểm soát bảo mật được đặt ra để duy trì bộ ba thông tin CIA. Trong bài đọc này, bạn sẽ tìm hiểu về vòng đời dữ liệu, các kế hoạch xác định cách dữ liệu được bảo vệ và các loại dữ liệu cụ thể cần chú ý thêm.

Vòng đời dữ liệu

Vòng đời dữ liệu là một mô hình quan trọng mà các nhóm bảo mật xem xét khi bảo vệ thông tin. Điều này ảnh hưởng đến cách họ thiết lập các chính sách phù hợp với mục tiêu doanh nghiệp. Điều này cũng đóng một vai trò quan trọng trong các công nghệ mà các nhóm bảo mật sử dụng để giúp thông tin có thể truy cập được.

Nói chung, vòng đời dữ liệu có năm giai đoạn. Mỗi mô tả cách dữ liệu lưu thông qua tổ chức từ thời điểm được tạo cho đến khi không còn hữu ích nữa:

• Thu thập

• Lưu trữ

• Sử dụng

• Lưu

• Tiêu hủy

Việc bảo vệ thông tin ở mỗi giai đoạn của quá trình này mô tả sự cần thiết phải đảm bảo thông tin có thể truy cập và có thể khôi phục nếu có sự cố xảy ra.

Quản trị dữ liệu

Các doanh nghiệp xử lý lượng dữ liệu khổng lồ mỗi ngày. Thông tin mới liên tục được thu thập từ các nguồn bên trong và bên ngoài. Một cách tiếp cận có cấu trúc để quản lý tất cả dữ liệu này là cách tốt nhất để đảm bảo sự riêng tư và bảo mật.

Quản trị dữ liệu là một tập hợp các quy trình xác định cách tổ chức quản lý thông tin. Quản trị thường bao gồm các chính sách chỉ định cách đảm bảo dữ liệu riêng tư, chính xác, khả dụng và bảo mật trong suốt vòng đời.

Quản trị dữ liệu hiệu quả là một hoạt động hợp tác dựa vào con người. Các chính sách quản trị dữ liệu thường phân loại các cá nhân vào một vai trò cụ thể:

• Chủ sở hữu dữ liệu: người quyết định ai có thể truy cập, chỉnh sửa, sử dụng hoặc tiêu huỷ thông tin.

• Người giám sát dữ liệu: bất kỳ ai hoặc bất cứ thứ gì chịu trách nhiệm về việc xử lý, vận chuyển và lưu trữ thông tin an toàn.

• Người quản lý dữ liệu: người hoặc nhóm duy trì và triển khai các chính sách quản trị dữ liệu do tổ chức đặt ra.

Các doanh nghiệp lưu trữ, di chuyển và chuyển đổi dữ liệu bằng cách sử dụng một loạt các hệ thống CNTT. Các chính sách quản trị dữ liệu thường gán trách nhiệm giải trình cho chủ sở hữu dữ liệu, người giám sát và người quản lý dữ liệu.

Lưu ý: Là người giám sát dữ liệu, bạn sẽ chịu trách nhiệm chính trong việc duy trì các quy tắc bảo mật và quyền riêng tư cho tổ chức của mình.

Bảo vệ dữ liệu ở mọi giai đoạn

Hầu hết các kế hoạch bảo mật bao gồm chính sách cụ thể phác thảo cách thông tin sẽ được quản lý trong tổ chức. Đây được gọi là chính sách quản trị dữ liệu. Các tài liệu này xác định rõ ràng các quy trình cần được tuân theo để tham gia vào việc đảm bảo an toàn dữ liệu. Tài liệu này đặt giới hạn về ai hoặc những gì có thể truy cập dữ liệu. Các chuyên gia bảo mật là những người tham gia quan trọng trong quản trị dữ liệu. Là người giám sát dữ liệu, bạn sẽ chịu trách nhiệm đảm bảo rằng dữ liệu không bị hư hỏng, đánh cắp hoặc lạm dụng.

Thông tin được bảo vệ hợp pháp

Dữ liệu không chỉ là một loạt các số 1 và 0 được xử lý bởi máy tính. Dữ liệu có thể đại diện cho suy nghĩ, hành động và lựa chọn cá nhân của ai đó. Dữ liệu có thể đại diện cho một giao dịch mua hàng, một quyết định y tế nhạy cảm và mọi thứ trung gian. Vì lý do này, chủ sở hữu dữ liệu nên là người quyết định có nên chia sẻ dữ liệu của họ hay không. Là một chuyên gia bảo mật, việc bảo vệ các quyết định bảo mật dữ liệu của một người phải luôn được tôn trọng.

Bảo mật dữ liệu có thể là một thách thức. Phần lớn, đó là do chủ sở hữu dữ liệu tạo ra nhiều dữ liệu hơn mức họ có thể quản lý. Do đó, người giám sát và quản lý dữ liệu đôi khi thiếu hướng dẫn trực tiếp, rõ ràng về cách họ nên xử lý các loại dữ liệu cụ thể. Chính phủ và các cơ quan quản lý khác đã thu hẹp khoảng cách này bằng cách tạo ra các quy tắc chỉ định các loại thông tin mà các tổ chức phải bảo vệ theo mặc định:

• PII là bất kỳ thông tin nào được dùng để suy luận ra danh tính của một cá nhân. Thông tin nhận dạng cá nhân, hay PII, đề cập đến thông tin có thể được sử dụng để liên hệ hoặc xác định vị trí người khác.

• PHI là viết tắt của thông tin sức khỏe được bảo vệ. Tại Hoa Kỳ, thông tin này được quy định bởi Đạo luật về Trách nhiệm Giải trình và Cung cấp Thông tin Bảo hiểm Y tế (HIPAA), định nghĩa PHI là “thông tin liên quan đến sức khỏe hoặc tình trạng thể chất hoặc tinh thần trong quá khứ, hiện tại hoặc tương lai của một cá nhân.” Ở EU, PHI có một định nghĩa tương tự nhưng được quy định bởi Quy định chung về bảo vệ dữ liệu (GDPR).

• SPII là một loại PII cụ thể cần áp dụng nguyên tắc xử lý nghiêm ngặt hơn. S là viết tắt của nhạy cảm, có nghĩa đây là một loại thông tin nhận dạng cá nhân chỉ nên được truy cập trên cơ sở cần phải biết, chẳng hạn như số tài khoản ngân hàng hoặc thông tin đăng nhập.

Nhìn chung, điều quan trọng là phải bảo vệ tất cả các loại thông tin cá nhân khỏi việc sử dụng và tiết lộ trái phép.

Điểm chính cần ghi nhớ

Việc đảm bảo thông tin riêng tư chưa bao giờ quan trọng đến thế. Nhiều tổ chức có chính sách quản trị dữ liệu phác thảo cách họ lên kế hoạch bảo vệ thông tin nhạy cảm. Là người giám sát dữ liệu, bạn sẽ đóng một vai trò quan trọng trong việc đảm bảo thông tin có thể truy cập và an toàn trong suốt vòng đời. Có nhiều loại thông tin và biện phấp kiểm soát khác nhau mà bạn sẽ gặp phải trong lĩnh vực này. Khi tiếp tục khóa học này, bạn sẽ tìm hiểu thêm về các biện pháp kiểm soát bảo mật chính giúp đảm bảo dữ liệu riêng tư.