4分钟阅读

高等教育的安全路线图

通过 BP Logix 上2019年12月3日4:39:41 PM

主题: 安全 BPM

高等教育的安全路线图

最近一项针对一系列行业的潜在威胁的研究称,高等教育是针对性最强的行业之一。在过去的几年中, 网络攻击有所增加 降低了68%,每次攻击的平均成本将近70万美元。高校在遭受攻击时将损失大量资金,不仅是数据窃取和赎金要求造成的财务损失,而且还面临声誉受损的风险,这可能对学生招募产生负面影响,并有可能获得研究补助金等优势。

众所周知,在当今全球数据丰富的全球经济中,所有组织都面临着网络安全风险。有些攻击表现为攻击,攻击是为了获得财务或其他形式的剥削而向个人索取个人信息。在其他情况下,安全目标包括知识产权和系统范围的信息。由于涉及到的数据种类繁多,并且提供了多个访问点,因此,与大量利益相关者接触的组织成为目标。

高等教育 机构属于这一类,并已成为有吸引力的攻击目标。他们为不同的选民提供服务,他们存储并处理有关所有不同利益相关者的敏感数据。因此,高校需要结构化的安全路线图,该路线图可以灵活地访问数据和记录,但同时也可以保护高等教育生态系统中的学生,教职员工,员工和其他利益相关者。

高等教育的安全风险

大学的IT部门负责管理,保护,存储并最终保护包括学生在内的大量数据(学生信息包括个人身份信息[PII],例如学生记录,财务援助信息和医疗保健数据,等等) ,员工和教职员工的HR记录,运营数据以及与政府拨款和研究相关的记录,其中大部分是敏感的。

攻击者通过多种策略来追踪私人关键数据,包括:

  • 云攻击: 与更多的高等教育机构 快速移动 对于云的关键工作负载,黑客正在利用共享责任模型的各个方面,从而在工作负载和云环境中留下漏洞。
  • 网络钓鱼: 网络钓鱼是最常见的攻击类型之一,它是通过发送未经请求和不道德的电子邮件链接到欺诈性网站来完成的。
  • 设备安全性: 大多数组织采用“自带设备”(BYOD)策略进行操作,使员工和承包商可以将个人智能手机,计算机和平板电脑用于商业用途。这些设备通常未执行正确的安全协议,这可能会使敏感数据容易受到攻击。
  • 恶意软件: 恶意软件是恶意安装在用户计算机上的软件。各种类型包括勒索软件,病毒,蠕虫和广告软件。如最近的事件所示,这些恶意软件威胁通常被用作窃取信息和进行欺诈(包括勒索)的手段。
  • 拒绝服务(DoS): 在DoS攻击中,通常可以访问系统或网络的个人突然被拒绝查看数据或系统的能力。它包括重要的,特定于大学的应用程序,电子邮件或其他数字访问点。

制定有效的安全框架

 大学的IT安全计划需要一种持续监视和响应的框架,该框架可以管理对利益相关者数据和知识产权的威胁。这不仅仅是监视工具,它会在某些安全控制遭到破坏时发送警报。相反,必须将警惕方法的基础嵌入学校的运作流程和方式中。

风险是永远存在的,并且有规律地增加。教育IT部门必须采用一种方法 使安全法规适应性强 既可以满足学校不断变化的需求,又可以应对日益复杂的网络攻击。

高等教育IT部门正在使用 业务流程管理 和类似的工作流程解决方案 工艺总监 了解其威胁状况并实施可自动进行攻击防御的计划和策略。要开始该过程,高校必须启动一项战略,其中要考虑到他们所服务的不同人群的数据风险,以及所使用的所有不同IT应用程序所采用的过程。虽然大多数学校都有一些松散定义的指南,但第一步要求将全面的计划映射到过程驱动的框架。

高等教育数据安全的必要步骤

该安全计划的制定,实施和管理应考虑以下因素:

有效合作和计划: 了解高等教育中的利益相关者需求可能会很棘手;作为一名学生有效运作的要求与作为一名教师的职能有很大不同。这些差异的考虑至关重要,因为高等教育包含了如此多样化的需求和用户类型。即使在学术部门内部,在方法上也存在巨大差异 工作流程工具 并应用过程管理。学习不同团队的工作,目标,用例和语言,然后利用他们的流程和方法,将为IT团队提供正确的角度来保护他们。

了解业务模式: 了解安全风险的最有效方法是拥有一种自动方法来检测工作负载和流程中的行为异常。 IT团队应该制定一个常规业务和数据模式的方案,并将它们作为基准。他们还需要与部门负责人会面,以了解对容易发生行为异常的关注区域或漏洞区域的了解。在构建流程时可以考虑这些因素,并且可以更好地了解被认为是可接受和不可接受的行为。

自动化流程: 在业务转型过程中,大学IT部门应寻求方法使部门经理具有灵活性和流程所有权。为此,他们应制定鼓励重复性和自动化的政策。流程应尽可能强调自助服务,并促进标准请求和帐户设置的直接处理。

将工具与流程集成以获得更好的结果: 高校已经在技术堆栈上投入了大量资金。 IT团队必须了解所有技术工作中使用的工具,数据和通信渠道,然后识别其中的每一个地方都可能发生安全漏洞。减少整体的“应用程序面条”是实现流程一致性的极好的第一步。这可以通过收集每个系统所需的安全协议开始,然后找到一种将它们适当地应用于它们所接触的过程的方法,或者是否应该完全淘汰系统本身以支持自建的低代码应用程序。

在高等教育管理中实施安全措施并非一overnight而就。 IT团队必须考虑要实现的目标,并在意识到利益相关者的需求和技术堆栈的复杂性的情况下进行操作。此外,尽管将工作负载转移到云中并使用BYOD策略的数字化转型正在提供更大的灵活性,但它们也打开了新的威胁载体。通过以过程为中心的方法,高校可以改善其安全状况并帮助确保关键数据的安全。

BP Logix

撰写者 BP Logix