跳转到内容

信息技术与伦理/隐私与数据安全

来自维基教科书,开放世界中的开放书籍

2023 年春季 ITMM 485/585 课程伊利诺伊理工大学修订的章节

[编辑 | 编辑源代码]

编辑者

[编辑 | 编辑源代码]

银牌团队

银牌团队成员

[编辑 | 编辑源代码]
名字 姓氏 维基用户名
安德鲁 海恩斯 Ahaines120
迈克尔 谢夫奇克 Mszewczyk5
格里塞尔达 帕西拉斯 Gpasillas
基娅拉 麦肯齐 Kee201
达尔敏 苏塔 Dharminsuthar

BYOD 中的 DATA 滥用

[编辑 | 编辑源代码]

BYOD 代表“自带设备”,近年来在大型组织和公司中越来越受欢迎,他们允许员工将自己的设备用于工作目的。IT 部门越来越意识到 BYOD 正在发生,无论它是正式批准的还是未经批准的,并且他们正在采取措施,通过技术解决方案来解决这种趋势,这些解决方案可在各种平台和设备上保护公司数据。[1] 无论 BYOD 异常是否在组织或公司中正式批准,雇主和管理人员都必须对他们雇用和允许使用其设备的员工类型保持高度谨慎。一般来说,BYOD 为员工提供了便利和可访问性,另一方面,它为安全风险、数据丢失和数据隐私问题打开了机会。

DATA 滥用在许多公司网络中很常见。它可能从发送错误的电子邮件到删除极其重要的文件。BYOD 可能很麻烦,因为公司无法访问个人 BYOD 设备,因为公司不拥有它。这会导致 BYOD 设备上公司数据的滥用。一些文件可能会保留在个人 BYOD 设备上多年,直到设备被更换、被盗或损坏。在任何公司中都可能发生使用 BYOD 设备滥用公司数据的情况。任何类型的电子文档都可以在 BYOD 设备上被访问和篡改。BYOD 必须制定强有力的策略来打击 DATA 滥用。即使是敏感文档,大量损坏也会发生,并且成本会根据滥用数据的类型和滥用方式而飙升。

组织或公司的 IT 部门实施的各种政策和法规对于确保安全的的工作环境至关重要;最重要的是,它不会危及业务。在实践中,BYOD 通常意味着从个人设备访问电子邮件,考虑到电子邮件发送数据的潜在性质以及移动设备容易丢失 - 或被黑客入侵(如果未进行充分保护) - 这就带来了风险。员工在个人设备上访问公司数据对数据安全构成巨大风险,除非有正确的保护措施到位。[1] 其他形式的 BYOD 包括手机或笔记本电脑使用、存储棒、硬盘驱动器和其他允许访问您的工作相关帐户或工作相关数据的设备。

由于 BYOD 为公司带来了更大的风险和不幸;它也使制定尊重员工隐私的启用策略成为一项艰巨的任务。但是,试图通过监控个人拥有的设备来保护数据可能会被视为侵犯个人隐私权。在不同的地理区域,数据隐私立法规定个人必须对访问和处理其个人数据给予充分知情并明确同意。在 BYOD 和 MDM 的实际世界中,这种“访问”意味着监控活动并可能锁定和擦除设备 - 这些功能是员工可能不太愿意在其个人拥有的智能手机或平板电脑上允许的。[1]

一般来说,公司和企业应该避免 BYOD。如果他们想对某些员工例外,那么类似于移动性政策的东西将是有益的,并且在所有情况下都是至关重要的。风险超过了 BYOD 的积极成果,公司必须密切关注如何在公司网络中的任何 BYOD 设备上处理数据。根据隐私权清理中心,公司在制定 BYOD 政策时必须考虑许多法律法规。哪些法律适用将取决于雇主业务的性质以及它收集、存储和使用哪种数据。[2] 公司移动性政策意味着员工和雇主之间一定程度的妥协。雇主允许员工使用他们选择的设备,而员工承认他们在保护公司数据方面的责任,并允许对其个人设备进行一定程度的监控。[1] 具有讽刺意味的是,如果雇主很可能为 BYOD 用户制定移动性政策,那么他们应该无视 BYOD,只需为员工提供必要的技术和访问权限,这些技术和访问权限都可以由 IT 部门同时监控,以降低任何与文件放置错误、隐私入侵或其他与 BYOD 相关的风险。

虚拟现实中的隐私与数据安全

[编辑 | 编辑源代码]

虚拟现实 (VR) 是“使用计算机技术创造互动三维世界的效果,其中物体具有空间存在感。[3]” 用户在与虚拟环境交互时必须共享个人和敏感信息。虚拟现实平台提供商收集生物识别数据,例如手部跟踪运动、视网膜运动和语音数据,作为改进各种功能的反馈。如果消费者将其 VR 帐户链接到社交媒体帐户(例如 Facebook),则平台提供商可以收集相关数据。关于 VR 平台提供商如何管理消费者数据,没有联邦法律或法规。VR 消费者无法要求从设备或提供商中删除其数据,除了加利福尼亚州。加利福尼亚消费者隐私法赋予消费者更多控制权。CCPA 确保消费者可以选择退出数据收集(如果允许)、请求删除其数据、了解其数据发生的情况以及限制其数据的使用和发布。[4]

随着VR收集越来越多的数据,它成为了黑客攻击的目标。黑客攻击是指未经授权访问网络、设备或系统。由于VR在处理消费者隐私方面没有规定,因此没有设定任何安全措施。黑客可以通过暴力破解进入受害者的账户,窃取个人信息。 VR用户账户没有多因素身份验证。VR平台提供商内部没有数据加密;因此,黑客更容易窃取数据。

补救措施

[编辑 | 编辑源代码]

每个美国州都必须颁布隐私法,以确保VR平台提供商能够妥善管理消费者数据。每个VR消费者都应该了解提供商如何使用其数据以及为何收集数据。每个VR提供商都必须在屏幕上显示一份披露声明,消费者必须在使用设备之前接受它。披露声明必须使用易于理解的语言。所有数据在存储时必须进行加密,以防出现数据泄露。所有VR设备和账户都必须进行双重多因素身份验证,以防止未经授权的访问。通过这些额外的预防措施,消费者可以安全地穿越他们的虚拟环境。

处理工作场所数据的最佳实践

[编辑 | 编辑源代码]

工作场所数据的内容可能有所不同,但必须正确存储和管理所有内容,以避免数据丢失或位置错误。如果数据被泄露或被未经授权的人员访问,组织可能会面临短期和长期的后果。为了保护组织在其域和云存储中的数据,他们必须了解数据丢失的严重性和维护数据隐私的重要性。

为了防止数据泄露,组织应该限制某些人员访问某些文件和数据。 [5] 员工应该只访问帮助他们完成工作职责的信息。此限制应适用于公司拥有的设备以及连接到组织网络的设备。

在使用设备时,无论是个人设备还是公司设备,用户都应确保设备已登记,并至少设置了一种密码,以防止任何陌生人访问重要信息。 [5] 如果可以在同一设备上使用两种不同的密码,这将增加一层额外的安全性。这一点很重要,因为一旦设备被报告丢失,接下来的挑战就是阻止设备被访问,并检测其是否被泄露。

通过确保所有操作系统和应用程序都已打补丁或更新,以避免任何安全漏洞,保持设备更新至关重要。 [5] 更新针对的是已发现的任何新漏洞,并尝试解决它们以进一步改善应用程序或软件的使用体验和质量。更新通常会尝试实施新的安全功能,以进一步保护用户免受黑客攻击。

任何保存私密信息的设备都应进行深度清理。深度清理将涉及整理任何设备上的文件,通过排序和删除不再需要保存的任何数据。 [5] 设备上保存的文件越少,您需要负责保护的数据就越少。请记住,文件可能在其他地方备份,如果不再需要文件或授予了错误的访问权限,则应将其删除。


四种数据处理程序来管理工作场所数据。


1. 网络安全程序

内容概述了安全数据处置、定期审计和评估、创建政策和流程、实施技术控制、提供员工教育和培训、建立事件响应策略、制定持续监控和评估程序、建立健全的供应商管理程序、进行定期测试和更新、建立沟通和报告流程以及强调持续的这些步骤包括擦除过时文件和电子设备中的数据或将其物理销毁、进行例行审计和评估、制定完善的政策和程序、使用网络安全工具、定期培训员工了解网络安全意识、制定事件响应策略、监控系统日志并进行安全审计、管理供应商和第三方供应商、进行渗透测试以及利用漏洞。

2. GRC程序

创建良好的治理、风险和合规性 (GRC) 程序涉及几个关键阶段。首先,重要的是要明确定义 GRC 程序的目标和边界,考虑业务的战略目标、行业标准和法律需求。为了识别和评估公司的风险,包括运营、财务、法律和声誉风险,应进行全面风险分析。行业最佳实践应作为定义公司治理、风险管理和合规流程的政策和程序的基础。为了管理风险,应设计一个框架,概述风险管理的角色和职责,以及风险识别、评估、缓解和监控程序。为了确保企业遵守所有适用的法律、法规和行业标准,应制定合规流程。这些流程应包括跟踪、报告和记录合规性的步骤。应创建和实施内部控制,例如控制流程、监控系统和报告程序,以确保运营有效且符合政策和程序。

3. 内部威胁程序

本文还强调了持续培训和意识活动的重要性,以向员工说明各种内部威胁、它们可能造成的影响以及识别和报告内部威胁的方法。这包括传授数据管理原则、内部威胁缓解技术和信息安全最佳实践方面的知识。密切关注用户活动是识别内部威胁的另一个重要组成部分。组织可以使用日志分析、网络监控和用户行为监控等工具,跟踪和评估用户活动,以识别任何可能表明内部威胁的异常或可疑行为,例如试图进入限制区域或数据传输偏离通常模式。建议定期审计用户账户、访问权限和系统日志,以识别任何潜在的犯罪活动或可能表明内部威胁的异常情况。这涉及评估用户访问权限、注意特权账户的使用情况以及进行定期安全审计,以主动识别和阻止内部威胁。

4. ISO 27001

ISO 27001 是一种广泛认可的信息安全管理体系 (ISMS) 标准,其实施要求制定计划策略和几个基本组成部分。必须确定 ISMS 的范围,必须获得领导层的承诺,必须完成风险评估,必须制定安全计划,必须实施安全措施,必须记录流程和政策,必须对员工进行培训,必须完成内部审计,必须进行管理评审,必须进行认证准备,并且持续改进必须成为主要重点。声明 ISMS 系统将涵盖的标准、限制、资源、流程和人员是确定其范围的第一步。实施还必须获得高管的支持,他们应通过任命管理代表并提供必要的资金来做到这一点。通过仔细的风险评估,必须识别和评估信息资产的风险和漏洞。这包括识别资源、威胁和漏洞,以及确定风险级别、估计潜在事件的可能性和影响以及确定漏洞。

遵守公司网络安全政策

[编辑 | 编辑源代码]

组织中的每个员工都应接受网络安全重要性的教育,而不仅仅是 IT 专业人员。网络安全政策将解释每个人在保护 IT 系统方面的责任。这包括电子邮件加密标准以及在工作场所使用社交媒体的标准。在网络安全方面,员工是最薄弱的环节。根据 McAfee 的调查,43% 的数据丢失是由员工造成的。强有力的网络安全政策将帮助员工了解保护数据的 важность. [6] 在医疗保健和金融等通常持有重要客户信息的行业,这一点尤其重要,因为他们可能会因安全程序不足而受到巨额罚款。

网络安全政策将告知员工和其他用户如何负责任地访问在线资源。它还将包括组织中每个人的一般安全期望。该政策应强调安全敏感数据等重要方面。该政策应该易于阅读和理解。

IT 部门负责所有信息安全策略。但是,其他关键利益相关者也参与制定政策。例如,法律部门将通过确保政策符合法律要求来为政策的制定做出贡献。由于技术不断变化,因此更新网络安全政策以适应这些变化非常重要。

何时允许和不允许进行道德黑客攻击

[编辑 | 编辑源代码]

为了充分理解道德黑客的概念,我们首先必须了解渗透测试的概念。渗透测试是指合法地利用计算机系统以增强系统整体安全级别的行为。为了使此行为合法,渗透测试人员必须获得请求渗透测试方的书面授权。未经授权,利用计算机系统的行为将被视为非法。在进行渗透测试时,渗透测试人员会通过利用系统中未知的漏洞来利用计算机系统。渗透测试人员完成测试并成功访问计算机系统后,将创建一个报告以总结其发现。此报告中讨论的主题包括所有已识别的漏洞、用于执行利用的漏洞以及有关修补已识别漏洞的建议(Engebretson,2013)。[7] 在编写渗透测试报告时,提供尽可能多的细节非常重要。这样,您的客户才能使用您的报告作为指南来解决其计算机系统中的漏洞。如果没有详细的报告,客户将无法成功实施提供的解决方案。

在利用计算机系统的行为中,存在一个称为道德黑客的概念。在大多数情况下,“道德黑客”和“渗透测试”这两个术语具有相同的含义。道德黑客用于描述执行计算机系统利用以帮助他人的个人。具体而言,帮助他人加强其计算机系统的安全性(Engebretson,2013)。[7] 正如您可能推断的那样,如果存在道德黑客,那么也必须存在不道德黑客。在渗透测试领域,有一些术语可以帮助描述道德黑客和不道德黑客之间的区别。这些术语被称为“白帽子”、“灰帽子”和“黑帽子”。

有三种类型的帽子描述了道德黑客和不道德黑客之间的区别。首先,您有黑帽子。黑帽子是指对计算机系统进行恶意、未经授权的利用的人。白帽子是指对计算机系统进行合法、经授权的利用的人。为了帮助人们加强其计算机系统的安全级别。最后,灰帽子是指同时进行白帽子和黑帽子黑客攻击的人(Grimes,2017)。[8] 需要明确的是,任何形式的黑帽子黑客攻击都是非法的。您进行的黑客攻击数量无关紧要,任何未经授权的黑客攻击都将被视为非法。总之,黑帽子是用来描述不道德黑客的术语。白帽子是用来描述道德黑客的术语。最后,灰帽子是用来描述进行不道德和道德黑客攻击的人的术语。

笔记

[edit | edit source]
  1. a b c d Absalom, Richard (05/07/2012). "International Data Privacy Legislation Review: A guide for BYOD policies" (PDF). Data-Privacy-Legislation-Review-A-Guide-for-BYOD-Policies.pdf. Retrieved 04/24/2023. {{cite web}}: Check date values in: |access-date= and |date= (help)
  2. "Bring Your Own Device (BYOD) . . . at Your Own Risk". Privacy Rights Clearinghouse. 01 September 2013. Retrieved 18 April 2021. {{cite web}}: Check date values in: |date= (help)
  3. Bryson, Steve (2013-12-16). "Virtual Reality: A Definition History - A Personal Essay". arXiv:1312.4322 [cs]. doi:10.48550/arxiv.1312.4322.
  4. "California Consumer Privacy Act (CCPA)". State of California - Department of Justice - Office of the Attorney General. 2018-10-15. Retrieved 2023-04-25.
  5. a b c d Bandler, John (2017). "CYBERCRIME AND FRAUD PREVENTION FOR YOUR HOME, OFFICE, AND CLIENTS". GPSolo. 34 (5): 58–61. ISSN 1528-638X.
  6. "How Cybersecurity Policies and Procedures Protect Against Cyberattacks". McAfee. Retrieved 18 April 2021.
  7. a b Engebretson, Pat (2013). The basics of hacking and penetration testing : ethical hacking and penetration testing made easy (2nd ed ed.). Amsterdam: Syngress, an imprint of Elsevier. ISBN 978-0-12-411641-2. OCLC 852159073. {{cite book}}: |edition= has extra text (help)
  8. Grimes, Roger A. (2017). Hacking the hacker : learn from the experts who take down hackers. Indianapolis, IN. ISBN 978-1-119-39626-0. OCLC 983465946.
华夏公益教科书