构建完整的企业信息安全体系

对企业来讲,无论如何规划业务,信息安全作为保障企业关键数据的措施始终是最重要的一块。不过现在有另外一种划分业务的方法,IT决策者在决定如何规划信息安全这项业务的时候,会利用企业敏感数据的信息来提供安全情报,并据此来做出最合适的数据安全管理措施。

在云计算的时代,信息安全问题越来越受到重视,保护信息安全同样也成为企业发展业务的重要手段。越来越多的企业选择开展线上业务来增强他们的竞争力,并通过改善业务流程来扩大利润。而在这个过程中,用户的信息作为最重要的数据要确保不会落入不法分子的手中。而通过完整的信息安全体系构建的环境可以帮助企业避免这些危机的出现,企业可以通过这些用户的信息来获得最有利的情报,取得最佳的收益。

数据安全技术的演变

在最近关于企业信息安全的报告中,专家们都期望着信息安全能够随着近几年来几项截然不同的技术的不断发展,而得到进步。这几项技术所包含的元素毫不相干,例如,Web应用防火墙,应用程序安全测试解决方案,数据库活动监测(DAM),数据标记以及身份管理等等。

对于如何整合这些完全不同的技术以及来自于他们的数据就成了一个关键性的需求。根据一位ESI的一位分析师的观点,当前这些互不相干的数据安全技术,实际上限制了安全分析系统来获得监控日志并取得报告,缺乏必要的数据管理,分析以及规划的能力。而当前确有很多企业采用这些独立的安全技术,由于很多独立的产品之间并不能很好的协作,这实际上是对追求完整的企业信息安全体系是一种阻碍。

而且从另一方面来讲,获得安全信息并不意味着只是收集安全日志,你还需要了解到你的敏感数据在哪,数据的内容是什么。在今年的四月,得克萨斯州审计办公室曾经发生一起数据泄露事件,大约350万人的姓名、社会安全号码和邮寄地址,另外还有一些人的出生日期和驾驶执照号码在网上被公开泄露。正是由于得克萨斯州审计办公室的一台没有加密的谁都可以访问的服务器,得克萨斯州三个政府机构的数据库所收集的敏感信息被泄密了将近整整一年,这三个政府机构是得克萨斯州教师退休中心、得克萨斯州劳动力委员会和得克萨斯州雇员退休系统。据称负责把数据发布到网上的几个员工违反了部门的工作程序,这起泄密事件披露后已被开除。

安全体系规则同样重要

如果不安装技术性的监控解决方案来认真执行程序,那么就没有太大意义。员工能够将数据库信息置于如此不堪一击的险境,证明要是整个安全体系的规则没有采取"强制实施的有效手段",会给企业带来多大的风险。得克萨斯州现在因这起泄密事件而面临两起集体诉讼,其中一起要求对该州判以向每个受影响的人赔偿 1000美元的赔偿处罚,考虑到这起事件影响到数百万人,这笔费用无疑如同天文数字。

因此,一个真正全面的安全体系,还要考虑到执行程序的员工的角色以及职责。例如,如果某个雇员可以接触到实际的客户数据,那么他会不会利用工作之便取得这些数据,这是一个不得不考虑的问题。而采用一套合理的规则就成了防范此类时间发生的关键,例如,对那些可以解除到客户数据的员工强制执行"最低权限"可以有效的防止发生员工数据泄露事件,因为无论是谁,都可能因为贪婪或者其他原因获得企业的数据。

可以肯定的是,这些数据所能驱动的商业价值是肯定要远远超出部署安全体系所花费的成本的。厂商通过分析数据来做出更好的商业决策就是一个很明显的证据。就像商业情报提供商可以通过软件来让一家保险公司利用客户数据来取得更好的决策一样,数据安全提供商也可以通过帮助企业保护他们的关键性数据来使企业充分利用这些数据做出最有利的决策,从而促进整个企业的发展。