使用无边界数据保护全球供应链

供应链网络安全攻击并不新鲜，但远未得到控制。

Resilience 360​​ 最近的一项研究发现，2019 年有近 300 起网络安全事件影响了供应链实体。平均企业与 500 多个第三方共享数据，难怪 Ponemon Institute 报告说大约 61% 的美国公司在他们的供应链中经历了数据泄露。

虽然地缘政治紧张局势引发了广泛的攻击，但 2020 年已经让位于机会的完美风暴，因为 COVID-19 迫使全球大部分劳动力转移到远程工作。从政府到企业的组织都必须负责保护他们处理和共享的数据。由于协作对于维持创新和生产力至关重要，因此必须在不扼杀想法和信息流或使系统和流程无法运行的情况下完成。

随着 COVID-19 在今年第一季度猛烈袭击美国，组织的回应是几乎在一夜之间将员工转移到远程工作。截至 2020 年 6 月，令人难以置信的 42% 的美国工人在家中和迁移办公室远程开展业务。随着劳动力高度流动，以及供应商生态系统变得越来越复杂和全球分散，对知识产权和机密或敏感信息的威胁越来越大。

项目团队每天都使用移动和云平台来共享和存储数据，这可能会使未经授权的用户访问这些数据。它还可以通过智能手机、可移动硬盘驱动器和 USB 存储设备实际携带到组织外，这些设备很容易被盗和丢失。在此背景下，数据不断跨越公司和国家的界限。不再有清晰的外围防守。

虽然蓄意黑客攻击现在司空见惯，但最大的安全威胁之一仍然是移动中的数据被盗、丢失和滥用。 Apricorn 在 2018 年的研究指出，29% 的受访组织因移动工作直接导致数据泄露。 2020 年进行的同一研究表明，超过一半的受访者仍然认为远程工作者会使他们的组织面临数据泄露的风险。

此外，Digital Guardian 最近的研究表明，自 COVID-19 爆发以来，员工下载到 USB 媒体的数据量增加了 123%，这表明团队正在使用可移动存储将大量数据带回家。除非这些设备被加密，否则我们看到与远程工作人员漏洞相关的数据泄露激增只是时间问题。

以数据为中心、基于策略的安全方法将保护组织中央系统内外的信息本身，无论是移动中还是静止状态，同时实现安全通信。答案在于采用人、流程和技术相结合的多层次方法。

从内部开始。 安全不仅仅是技术解决方案。安全意识培训和参与计划需要扩展到合作伙伴和承包商的团队。您在这里的目标是让所有员工意识到与数据相关的价值和风险，并定义和加强他们在保护数据方面的作用。

此外，制定数据安全最佳实践，并管理它们的实施。您可以通过创建有关如何与数据交互和保护数据的实践和策略，为您的组织带来优势。通过为您的团队和供应链概述和实施最佳做法，您有助于建立一种问责文化。

从生命周期的角度考虑数据。 在创建处理和保护数据的最佳实践之后，组织应该进行全面的审计，包括：

• 持有何种数据，目的何在；
• 谁有权访问该数据；
• 数据流向何处，以及
• 目前的控制方式。

这将更容易发现不合规领域，查明数据可能不受保护的位置，并确定可以最大程度降低风险的技术、政策和流程。

加强安全。 制定策略，包括记录和执行控制敏感数据处理和使用方式的策略，并将这些策略扩展到所有端点，包括合作伙伴和承包商。加密必须是该策略的关键要素。如果可移动媒体设备落入坏人之手，任何试图访问它的人都将无法理解加密信息。

尤其是在远程办公的“新常态”下，IT部门必须研究、识别和授权企业标准的加密移动存储设备，并通过白名单策略强制使用。该设备应预先配置以符合安全要求，例如密码强度。

而且，因为我们谈论的是供应链，所以应该将需求写入第三方合同——例如，列出必须使用的工具和技术，以及何时应该更新。组织可能会采取更加主动的方法，将这些要求纳入提案请求 (RFP) 流程，以便在选择第三方之前设定预期。

测量、监测和报告。 对于 IT 和安全团队来说，“你无法管理你无法衡量的东西”这句​​话尤其贴切。持续审核组织内部和整个供应链的合规性，可以快速了解违规行为，以便通过培训或纪律程序加以解决。监控还将提供详细的审计跟踪，使组织能够证明其合规立场，并准确记录任何不合规的用户行为。

技术和组织措施的结合有助于降低供应链中的风险敞口，同时在我们继续在家工作时允许信息的安全交换和移动。适当控制数据的企业可以在不影响效率、敏捷性或竞争优势的情况下保护机密性、国家安全和自己的声誉。

不断扩大的供应链，加上我们工作方式和地点的巨大变化，意味着组织必须不断关注第三方安全。通过制定一个在整个过程中进行审计和衡量的战略数据安全计划，并强调员工意识和培训，我们可以在消除物理边界的情况下保护我们的供应链。

Jon Fielding 是 的董事总经理 Apricorn ，硬件加密 USB 数据存储设备制造商。