糟糕的業(yè)務(wù)流程會(huì)向公司外部人員敞開大門���、引誘內(nèi)部人員,或者干脆助紂為虐���、幫助黑客或不懷好意的內(nèi)部人員為非作歹���。
現(xiàn)狀恐怕就是這樣。媒體幾乎每周都會(huì)報(bào)道某組織發(fā)生重大數(shù)據(jù)泄漏事件的新聞��。家得寶(Home Depot)����、零售商TJX、退伍軍人管理局(VA)��、輝瑞制藥公司(Pfizer)�、Monster.com和美國(guó)在線(AOL)等公司都遇到了糟糕的公關(guān)和法律問(wèn)題,而這些問(wèn)題都是伴隨數(shù)據(jù)丟失而來(lái)的�����。
一個(gè)相關(guān)問(wèn)題就是知識(shí)產(chǎn)權(quán)(IP)失竊����。公司內(nèi)部人員輕而易舉就能訪問(wèn)�、復(fù)制及移動(dòng)敏感數(shù)據(jù)��,這讓IT安全人員坐立不安���。內(nèi)部人員出售竊取的知識(shí)產(chǎn)權(quán)��,利用知識(shí)產(chǎn)權(quán)自己開公司���,或者以此向競(jìng)爭(zhēng)對(duì)手謀求職位,這樣的事情更是舉不勝舉��。
舉例來(lái)說(shuō):內(nèi)部人員輕而易舉就能竊取知識(shí)產(chǎn)權(quán)���,這讓NeoGenesis制藥公司的主管們大為震驚����,于是他們著手創(chuàng)建一家安全公司:Verdasys來(lái)解決這個(gè)問(wèn)題。公司內(nèi)部的一名人員企圖竊取藥方來(lái)開辦一家新公司;讓公司主管們有所注意的不是任何IT安全警報(bào),而是一份可疑的光盤采購(gòu)單����。
這種情況并非不同尋常�。不同尋常的是,NeoGenesis公司發(fā)現(xiàn)并且阻止了竊取行為��。一項(xiàng)又一項(xiàng)的調(diào)查表明內(nèi)部人員發(fā)動(dòng)的攻擊呈上升趨勢(shì)���。據(jù)美國(guó)商務(wù)部聲稱�,知識(shí)產(chǎn)權(quán)失竊導(dǎo)致美國(guó)公司每年損失大約2500億美元�����,同時(shí)使美國(guó)經(jīng)濟(jì)減少了近75萬(wàn)份崗位���。
看似無(wú)害,實(shí)則災(zāi)難
導(dǎo)致數(shù)據(jù)泄漏和知識(shí)產(chǎn)權(quán)失竊的原因有好多:有的是驗(yàn)證機(jī)制不夠完備���、數(shù)據(jù)保存不當(dāng)����,有的是筆記本電腦丟失;但通常存在一個(gè)根本的問(wèn)題是����,業(yè)務(wù)流程存在缺陷。糟糕的業(yè)務(wù)流程會(huì)向公司外部人員敞開大門����、引誘內(nèi)部人員��,或者干脆助紂為虐���、幫助黑客或不懷好意的內(nèi)部人員為非作歹。
“業(yè)務(wù)流程”是一個(gè)非常模糊的概念;不過(guò)說(shuō)到確認(rèn)存在缺陷的業(yè)務(wù)流程�,你該如何開始入手呢?第一件事就是明白本公司存在哪些看似無(wú)害的業(yè)務(wù)流程。
Steve Roop是Vontu公司負(fù)責(zé)產(chǎn)品營(yíng)銷及開發(fā)的副總裁�,他發(fā)現(xiàn)許多小錯(cuò)誤讓許多公司面臨巨大風(fēng)險(xiǎn)。他說(shuō):“有些錯(cuò)誤可笑�、愚蠢,而有些卻是惡意為之的;不過(guò)就連可笑愚蠢的錯(cuò)誤也有可能極其危險(xiǎn)��?���!彼麖?qiáng)調(diào)并舉例說(shuō),他們?yōu)橹峁┓?wù)的一家大公司每周平均要招聘400名員工����。這些新員工每個(gè)人都需要名片?���?蓡?wèn)題在于,多年來(lái),人力資源部門一直把電子表格副本送到印刷公司��,而這些表格上面記錄有著員工的社會(huì)保障號(hào)碼���、出生日期及其他信息;這樣一來(lái)��,它們就有可能遭到身份失竊�����。
數(shù)據(jù)泄漏預(yù)防廠商Verdasys公司的營(yíng)銷副總裁William Munroe說(shuō):“如果公司想大幅降低信息丟失的風(fēng)險(xiǎn),它們就要對(duì)數(shù)據(jù)安全采取注重風(fēng)險(xiǎn)的方法�。”
注重風(fēng)險(xiǎn)的安全方法其核心就是���,重新考慮最基本的21世紀(jì)的業(yè)務(wù)流程:數(shù)據(jù)是創(chuàng)建如何���、保存、修改及移動(dòng)的�。實(shí)際上,進(jìn)入到桌面系統(tǒng)及其他端點(diǎn)上的任何數(shù)據(jù)都面臨危險(xiǎn)�。大多數(shù)應(yīng)用服務(wù)器和數(shù)據(jù)庫(kù)都得到了相當(dāng)有效的保護(hù);但極少有任何安全規(guī)則負(fù)責(zé)管理桌面系統(tǒng)上的數(shù)據(jù)如何操縱、復(fù)制及保存���。
一旦數(shù)據(jù)遷移到了桌面系統(tǒng)上��,就可以刻錄到光盤上����、拷貝到USB驅(qū)動(dòng)器上或者M(jìn)P3播放器上,還可以用電子郵件發(fā)給任何地方的任何人��。許多公司已經(jīng)認(rèn)識(shí)到了一種風(fēng)險(xiǎn):電子郵件;但即便是在這方面��,安全機(jī)制仍然更多地針對(duì)的是外部風(fēng)險(xiǎn)(垃圾郵件和網(wǎng)絡(luò)釣魚等騙局)����,而不是內(nèi)部風(fēng)險(xiǎn)。
要是你保存數(shù)據(jù)的范圍從桌面系統(tǒng)擴(kuò)大到其他端點(diǎn)���,這個(gè)問(wèn)題就更嚴(yán)重了�����。不妨想想銷售點(diǎn)(POS)終端��。眾所周知����、代價(jià)慘重的TJX數(shù)據(jù)泄漏事件就是從POS終端開始泄漏數(shù)據(jù)的,而這些終端原本是不該保存數(shù)據(jù)的�����。
按照支付卡行業(yè)數(shù)據(jù)安全標(biāo)準(zhǔn)(該標(biāo)準(zhǔn)規(guī)定了商家如何處理信用卡數(shù)據(jù))的要求�,磁條上的個(gè)人信息不能收集及保存。遺憾的是�����,這項(xiàng)明智合理的隱私/安全流程卻常常與營(yíng)銷及銷售流程相沖突����,后者促使許多公司不擇手段地收集消費(fèi)者信息����。
就拿TJX來(lái)說(shuō)吧,不該收集的信息結(jié)果被收集了;而且采取了保護(hù)不力的方式來(lái)保存����。
研究機(jī)構(gòu)阿伯丁集團(tuán)的安全技術(shù)部門調(diào)研主任Carol Baroudi說(shuō):“每個(gè)人都需要大大增強(qiáng)數(shù)據(jù)的安全意識(shí)。公司至少要問(wèn)一下:數(shù)據(jù)保存在何處?誰(shuí)可以訪問(wèn)數(shù)據(jù)?數(shù)據(jù)得到了怎樣的保護(hù)?”
DLP吸引風(fēng)險(xiǎn)資金
由于許多公司很容易忽視存在缺陷的流程���,而數(shù)據(jù)又很容易在一家典型的電子商務(wù)公司的幾乎任何地方流動(dòng)����,國(guó)際上知名的安全廠商正在設(shè)法讓發(fā)現(xiàn)及執(zhí)行與敏感數(shù)據(jù)有關(guān)的業(yè)務(wù)策略的工作實(shí)現(xiàn)自動(dòng)化。
就最基本的功能而言�����,這種工具可以掃描在公司網(wǎng)絡(luò)上傳輸?shù)男畔?��,并且阻止所謂的“結(jié)構(gòu)化數(shù)據(jù)”(structured data)�����。非結(jié)構(gòu)化數(shù)據(jù)是因采用一致格式而容易被識(shí)別的數(shù)據(jù)�����,比如社會(huì)保障號(hào)碼和信用卡號(hào)碼�。比較先進(jìn)的這種工具可以研究分析數(shù)據(jù)本身的內(nèi)容�,試圖保護(hù)結(jié)構(gòu)較為松散的信息,比如知識(shí)產(chǎn)權(quán)����。
對(duì)數(shù)據(jù)保護(hù)采取DLP方案似乎正在流行起來(lái),這個(gè)領(lǐng)域也因而吸引了大量的風(fēng)險(xiǎn)資金��。而且這個(gè)領(lǐng)域還出現(xiàn)了一系列收購(gòu)案,DLP新興公司紛紛被傳統(tǒng)安全廠商所收購(gòu):McAfee收購(gòu)了Reconnex公司���;RSA公司收購(gòu)了Tablus公司;Websense公司收購(gòu)了PortAuthority公司;賽門鐵克公司也收購(gòu)了Vontu公司�。
不得不說(shuō)���,在DLP市場(chǎng)里面出現(xiàn)的一系列收購(gòu)案有力地證明�,DLP實(shí)際上只是極其龐大的新興數(shù)據(jù)安全市場(chǎng)當(dāng)中的一小部分�����。
雖然跨國(guó)公司正力求通過(guò)加強(qiáng)員工��、合作伙伴與外包商之間的協(xié)作�����,從而提高用戶的工作效率�、業(yè)務(wù)敏捷性及競(jìng)爭(zhēng)能力����,但它們?cè)陂_始考慮自由共享數(shù)據(jù)帶來(lái)的風(fēng)險(xiǎn)時(shí),就止步不前���。除非這些風(fēng)險(xiǎn)得到解決��,否則協(xié)作和“敏捷”業(yè)務(wù)實(shí)踐有望提高工作效率的好處將無(wú)法實(shí)現(xiàn)�,風(fēng)險(xiǎn)也會(huì)壓倒?jié)撛诘氖找妗?/p>
每家公司為了保護(hù)數(shù)據(jù)應(yīng)當(dāng)采取的五個(gè)步驟如下:
一、確認(rèn)一旦離開公司��、會(huì)帶來(lái)嚴(yán)重問(wèn)題的五六種數(shù)據(jù)����,比如包括社會(huì)保障號(hào)碼、客戶信用卡號(hào)碼�����、銷售記錄和知識(shí)產(chǎn)權(quán)�。
二、弄清楚敏感數(shù)據(jù)保存在貴公司里面的什么地方����。成立時(shí)間比較長(zhǎng)的公司往往會(huì)發(fā)現(xiàn),敏感數(shù)據(jù)到處都是����,甚至放在員工的桌面上。
三�、一旦你知道了敏感數(shù)據(jù)的位置���,就要制訂相應(yīng)策略,以明確如何創(chuàng)建�����、保存�、訪問(wèn)、共享及保護(hù)數(shù)據(jù)����。
四、監(jiān)控及執(zhí)行針對(duì)電子郵件���、網(wǎng)絡(luò)郵件�、即時(shí)通訊及其他通信方法的數(shù)據(jù)保護(hù)策略���。
五���、揣摩及執(zhí)行針對(duì)保存在端點(diǎn)及可移動(dòng)存儲(chǔ)介質(zhì)上數(shù)據(jù)的策略。
網(wǎng)站標(biāo)題:業(yè)務(wù)流程漏洞成數(shù)據(jù)丟失隱患DLP成熱點(diǎn)市場(chǎng)
標(biāo)題網(wǎng)址:
http://uogjgqi.cn/article/dpehsdc.html
