糟糕的业务流程会向公司外部人员敞开大门、引诱内部人员,或者干脆助纣为虐、帮助黑客或不怀好意的内部人员为非作歹。
现状恐怕就是这样。媒体几乎每周都会报道某组织发生重大数据泄漏事件的新闻。家得宝(Home Depot)、零售商TJX、退伍军人管理局(VA)、辉瑞制药公司(Pfizer)、Monster.com和美国在线(AOL)等公司都遇到了糟糕的公关和法律问题,而这些问题都是伴随数据丢失而来的。
一个相关问题就是知识产权(IP)失窃。公司内部人员轻而易举就能访问、复制及移动敏感数据,这让IT安全人员坐立不安。内部人员出售窃取的知识产权,利用知识产权自己开公司,或者以此向竞争对手谋求职位,这样的事情更是举不胜举。
举例来说:内部人员轻而易举就能窃取知识产权,这让NeoGenesis制药公司的主管们大为震惊,于是他们着手创建一家安全公司:Verdasys来解决这个问题。公司内部的一名人员企图窃取药方来开办一家新公司;让公司主管们有所注意的不是任何IT安全警报,而是一份可疑的光盘采购单。
这种情况并非不同寻常。不同寻常的是,NeoGenesis公司发现并且阻止了窃取行为。一项又一项的调查表明内部人员发动的攻击呈上升趋势。据美国商务部声称,知识产权失窃导致美国公司每年损失大约2500亿美元,同时使美国经济减少了近75万份岗位。
看似无害,实则灾难
导致数据泄漏和知识产权失窃的原因有好多:有的是验证机制不够完备、数据保存不当,有的是笔记本电脑丢失;但通常存在一个根本的问题是,业务流程存在缺陷。糟糕的业务流程会向公司外部人员敞开大门、引诱内部人员,或者干脆助纣为虐、帮助黑客或不怀好意的内部人员为非作歹。
“业务流程”是一个非常模糊的概念;不过说到确认存在缺陷的业务流程,你该如何开始入手呢?第一件事就是明白本公司存在哪些看似无害的业务流程。
Steve Roop是Vontu公司负责产品营销及开发的副总裁,他发现许多小错误让许多公司面临巨大风险。他说:“有些错误可笑、愚蠢,而有些却是恶意为之的;不过就连可笑愚蠢的错误也有可能极其危险。”他强调并举例说,他们为之提供服务的一家大公司每周平均要招聘400名员工。这些新员工每个人都需要名片。可问题在于,多年来,人力资源部门一直把电子表格副本送到印刷公司,而这些表格上面记录有着员工的社会保障号码、出生日期及其他信息;这样一来,它们就有可能遭到身份失窃。
数据泄漏预防厂商Verdasys公司的营销副总裁William Munroe说:“如果公司想大幅降低信息丢失的风险,它们就要对数据安全采取注重风险的方法。”
注重风险的安全方法其核心就是,重新考虑最基本的21世纪的业务流程:数据是创建如何、保存、修改及移动的。实际上,进入到桌面系统及其他端点上的任何数据都面临危险。大多数应用服务器和数据库都得到了相当有效的保护;但极少有任何安全规则负责管理桌面系统上的数据如何操纵、复制及保存。
一旦数据迁移到了桌面系统上,就可以刻录到光盘上、拷贝到USB驱动器上或者MP3播放器上,还可以用电子邮件发给任何地方的任何人。许多公司已经认识到了一种风险:电子邮件;但即便是在这方面,安全机制仍然更多地针对的是外部风险(垃圾邮件和网络钓鱼等骗局),而不是内部风险。
要是你保存数据的范围从桌面系统扩大到其他端点,这个问题就更严重了。不妨想想销售点(POS)终端。众所周知、代价惨重的TJX数据泄漏事件就是从POS终端开始泄漏数据的,而这些终端原本是不该保存数据的。
按照支付卡行业数据安全标准(该标准规定了商家如何处理信用卡数据)的要求,磁条上的个人信息不能收集及保存。遗憾的是,这项明智合理的隐私/安全流程却常常与营销及销售流程相冲突,后者促使许多公司不择手段地收集消费者信息。
就拿TJX来说吧,不该收集的信息结果被收集了;而且采取了保护不力的方式来保存。
研究机构阿伯丁集团的安全技术部门调研主任Carol Baroudi说:“每个人都需要大大增强数据的安全意识。公司至少要问一下:数据保存在何处?谁可以访问数据?数据得到了怎样的保护?”
DLP吸引风险资金
由于许多公司很容易忽视存在缺陷的流程,而数据又很容易在一家典型的电子商务公司的几乎任何地方流动,国际上知名的安全厂商正在设法让发现及执行与敏感数据有关的业务策略的工作实现自动化。
就最基本的功能而言,这种工具可以扫描在公司网络上传输的信息,并且阻止所谓的“结构化数据”(structured data)。非结构化数据是因采用一致格式而容易被识别的数据,比如社会保障号码和信用卡号码。比较先进的这种工具可以研究分析数据本身的内容,试图保护结构较为松散的信息,比如知识产权。
对数据保护采取DLP方案似乎正在流行起来,这个领域也因而吸引了大量的风险资金。而且这个领域还出现了一系列收购案,DLP新兴公司纷纷被传统安全厂商所收购:McAfee收购了Reconnex公司;RSA公司收购了Tablus公司;Websense公司收购了PortAuthority公司;赛门铁克公司也收购了Vontu公司。
不得不说,在DLP市场里面出现的一系列收购案有力地证明,DLP实际上只是极其庞大的新兴数据安全市场当中的一小部分。
虽然跨国公司正力求通过加强员工、合作伙伴与外包商之间的协作,从而提高用户的工作效率、业务敏捷性及竞争能力,但它们在开始考虑自由共享数据带来的风险时,就止步不前。除非这些风险得到解决,否则协作和“敏捷”业务实践有望提高工作效率的好处将无法实现,风险也会压倒潜在的收益。
每家公司为了保护数据应当采取的五个步骤如下:
一、确认一旦离开公司、会带来严重问题的五六种数据,比如包括社会保障号码、客户信用卡号码、销售记录和知识产权。
二、弄清楚敏感数据保存在贵公司里面的什么地方。成立时间比较长的公司往往会发现,敏感数据到处都是,甚至放在员工的桌面上。
三、一旦你知道了敏感数据的位置,就要制订相应策略,以明确如何创建、保存、访问、共享及保护数据。
四、监控及执行针对电子邮件、网络邮件、即时通讯及其他通信方法的数据保护策略。
五、揣摩及执行针对保存在端点及可移动存储介质上数据的策略。
【编辑推荐】
