TRIADA CIA to model bezpieczeństwa, który podkreśla podstawowe cele bezpieczeństwa danych i służy jako przewodnik dla organizacji, aby chronić poufne dane przed nieautoryzowanym dostępem i eksfiltracją danych.
Komponenty triady CIA
pomimo nazwy, TRIADA CIA nie jest połączona z Centralną Agencją Wywiadowczą – ale jest akronimem:
Get the Free Pen Testing Active Directory Environments EBook
- poufność zapewnia, że informacje są dostępne tylko dla upoważnionych osób;
- integralność zapewnia, że informacje są wiarygodne; a
- dostępność zapewnia, że dane są dostępne i dostępne w celu zaspokojenia potrzeb biznesowych.
jak używać triady CIA
jako modelu bezpieczeństwa, Triada CIA jest najlepiej postrzegana jako sposób myślenia i rozumowania o tym, jak najlepiej chronić dane w sieci.,
- gdy nowa aplikacja lub usługa jest oceniana, zadaj sobie pytanie: „jak wpłynie to na poufność, integralność i dostępność danych, których dotyka?”
- zamiast przeprowadzać przeglądy bezpieczeństwa, skup się na jednej nodze triady na raz. Ponowna ocena procedur, aby zobaczyć, gdzie można wprowadzić ulepszenia.
- edukować użytkowników końcowych na triadzie CIA jako ramy do rozważania własnych działań: „czy wysłanie tego arkusza danych użytkownika do zewnętrznej agencji wpłynie CIA?,”
kiedy należy używać triady CIA
podobnie jak wszystkie modele zabezpieczeń, TRIADA CIA ma szczególny punkt widzenia. W tym przypadku dane są centralnym punktem, wokół którego powinieneś uporządkować swoje wysiłki w zakresie bezpieczeństwa.
niektóre inne modele koncentrują się na zarządzaniu uprawnieniami, klasyfikacji danych, zarządzaniu tożsamością i dostępem oraz analizie behawioralnej użytkowników (UBA)., Dzięki zastosowaniu wielu różnych podejść do architektury zabezpieczeń możesz lepiej zniechęcać cyberprzestępców i złośliwych insiderów do kradzieży twojej własności intelektualnej, danych medycznych, danych finansowych i danych osobowych.
tak więc, aby odpowiedzieć na pytanie: zawsze powinieneś używać triady CIA, ale nigdy nie powinieneś używać jej w izolacji. Należy go sparować z innymi nakładającymi się modelami zabezpieczeń, aby można było osiągnąć głęboką obronę.,
Triada CIA przykład: DatAdvantage
aby lepiej zrozumieć, jak zastosować zasady triady CIA do własnej organizacji, oceniliśmy nasz własny produkt DatAdvantage na trzech komponentach.
poufność
aby zapewnić, że dane wrażliwe są dostępne tylko dla upoważnionych osób, pierwszym krokiem jest wyeliminowanie globalnego dostępu do danych wrażliwych. W tym celu Varonis DatAdvantage wykorzystuje następujące strumienie metadanych, aby rekomendować uprawnienia administratorowi IT Twojej firmy: Użytkownicy i grupy, uprawnienia, aktywność dostępu i klasyfikacja treści.,
dzięki tym samym strumieniom metadanych Varonis DatAdvantage i Twój administrator IT – w ramach współpracy – mogą podjąć kolejne kroki, aby zidentyfikować, kto ma dostęp do zestawu danych, naprawić uszkodzone ACL, wyeliminować nieużywane grupy zabezpieczeń, zidentyfikować właścicieli danych, a nawet pozyskać Varonis DataPrivilege, aby umożliwić właścicielom danych twojej firmy przeglądanie dostępu do danych.
dostępność
firmy działają płynnie, gdy dane są łatwo dostępne i dostępne., Jednak w przypadku wystąpienia incydentu związanego z bezpieczeństwem – uniemożliwienia dostępu lub uzyskania zbyt dużego dostępu – silna Jednostka audytowa może pomóc i określić przyczynę.
aby wyśledzić źródło, Varonis DatAdvantage pobiera strumień metadanych aktywności dostępu i automatycznie generuje ścieżkę audytu każdego zdarzenia, z oznaczeniem czasu – Utwórz, Usuń, przeczytaj, zmodyfikuj. Co więcej, ścieżka audytu w połączeniu ze strumieniem metadanych użytkowników i grup pomoże śledczym odpowiedzieć na pytanie często bez odpowiedzi: kto miał dostęp do danych?,
integralność
niekompletne, brakujące lub nieaktualne dane mogą mieć negatywny wpływ na jakość danych. Varonis DatAdvantage i mechanizm klasyfikacji danych wykorzystują strumień metadanych aktywności dostępu i klasyfikacji treści w celu identyfikacji przestarzałych danych i typów treści, podczas gdy mechanizm transportu danych może automatycznie przenosić, archiwizować, wykrywać i poddawać kwarantannie dane regulowane w oparciu o limity przechowywania.
chociaż bezpieczeństwo informacji jest często związane z triadą CIA, Varonis wykracza poza te trzy atrybuty., Co więcej, bezpieczeństwo informacji w Varonis nie jest listą kontrolną ani tylko zgodnością. To podróż.
Dodaj komentarz