DoSTOR存储分析 9月21日消息:美国当地时间本周三,在纽约举行的Interop展会上,法规遵从成为本次大会的热点议题之一,不少人认为法规遵从仍然是一个难以实现的目标,不仅需要花费大量资金,而且有时不同法规的要求还互相冲突。
与会的用户,咨询师,分析师都认同应该有一种更好的方式让法规遵从简单化,因为出台的法规越来越多,公司所面临的法规遵从要求也越来越复杂。
New York Life Insurance的首席信息安全官Steven Attias表示,成千上万的法规迫使他通过多种途径满足法规遵从要求,而这些法规遵从流程与业务流程通常不协调。“绝大多数法规只是告诉你要做哪些事,有一些法规描述得很模糊,有一些法规规定得太刻板。这些写法规的人都不懂我们这个领域。”
一位分析师认为,如果法规遵从是一个整体过程而不是针对每条法规有不同的过程,这样将好得多。KPGM Technology Insider的Dave Pelland说:“对于很多公司来说,法规遵从仍然是一个不确定的目标,很多公司正在研究怎样自动化这个过程。”
Institute of Internal Auditors的财务副总裁Adam Losner称,每次法规遵从的目标改变后,公司都要花钱雇请审计师和咨询师,开始创建文件管理流程。
他建议公司采取一种整体的方法来实施法规遵从而不是针对不同的法规采取不同的方法。现在很多公司都找到了多种方法来应对法规遵从的要求,但是他们的方法需要花很多钱,因为他们针对不同的法规购买不同的工具,而没有一个综合的方案。
法规遵从的重心有所转变。最初,法规遵从只围绕萨班斯法案(Sarbanes-Oxley, SOX)和其他特定法规,现在法规遵从更多的是意味着避免数据安全和数据保护漏洞。公司必须承认什么时候丢失了客户数据。由于过去一两年中磁带和笔记本敏感数据丢失事件屡见不鲜,法规遵从才有了这样的变化。
来自New York Life Insurance的Attias认为关键数据丢失会产生巨大的负面影响,如果丢失数据,不仅要支付罚金,而且还会失去客户的信任,最终将影响到你的收入。
Attias说,名誉上的风险当然很重要,但是相比金融风险,名誉风险就不是这么重要了。我不知道怎样量化名誉风险,但是如果我们丢失客户数据,赔偿金大概为4500万美元。
Attias认为,要防止数据丢失,就要减少对磁带备份的依赖。我们正想办法把数据备份到远程站点或者选择加密的磁带。但是涉及到加密时,密匙管理又是一个不可避免的问题。
加密带来的另一个问题是,恢复数据的时间延长,而法规要求公司在很短的时期内提供审计或诉讼所需要的信息。
Losner说:“摆在你面前的要求有时是互相冲突的。一方面,HIPAA要求你安全地存储并传输信息。另一方面,SEC会要求你快速找回几年前的信息。”
在本次Interop展会上,赛门铁克首席技术官Mark Bregman和CA首席执行官John Swainson都提到法规遵从是当前IT面临的主要挑战。
Bregman指出IT应该怎样应对如Sarbanes-Oxley, HIPAA, and Baisel II这样的法规,而这些法规通常或是重叠的,或是冲突的,还十分复杂。我们应该怎样应对所有这些不同的法规要求?
Swainson将IT称为“法规遵从的瓶颈。用户审计,数据保留策略,改变和控制程序,应用访问和利用,预算管理这一系列过程都涉及法规遵从,只有通过有效地协调管理才能达到法规遵从的要求。”