CIO必须意识到数据安全威胁的不仅是服务器上企业和用户的信息,甚至有可能是他们自己的职业前途。
你清楚公司哪些数据是不可以对第三方开放的吗?对于这些私密信息,公司有足够的手段阻止其外泄吗?每个相关人员都清楚地了解哪些数据可以放在笔记本电脑或移动存储设备里,哪些数据不可以放吗?你了解这些移动设备不可以被带到哪些地方吗?对哪些数据需要被加密,公司是否都有明确的政策规定呢?对这些问题的有效回答不仅有助于数据安全,对商业科技领导者或信息安全专家来说,这可能意味着自己的职业生涯可以高枕无忧,而不用向老板、甚至司法官员尴尬地解释数据泄密原委。
对于企业来说,需要花费大量的金钱才能挽回数据泄密带来的损失。最近,在那些需要实施强制性安全策略却又偏偏发生数据泄密的地方,比如美国在线(AOL),美国退伍军人事务管理部(Veterans Affairs Department)和位于美国雅典的俄亥俄州大学(Ohio University),他们的IT主管为此吃尽了苦头??因为缺乏强制性的安全政策,他们的职业生涯毁于一旦。
为了协助对搜索引擎关键词进行研究的学者,AOL最近共享了近2,000万条搜索关键词,这些搜索词汇来自于65.8万名AOL用户。但也正是这样一次看似合理的数据共享,最终导致了AOL的一位高层和两名员工终结了自己在AOL的职业生涯。由于搜索数据共享,AOL搜索引擎缓存中和大量用户个人隐私相关的信息暴露于光天化日之下。
虽然这些信息是匿名的,但是由于发布在Web上信息内容过于详细,其中包括了社会福利号(Social Security Number,编者注:在美国,社会福利号最初目的是作为社会安全保险之用,但事实上考驾照、买保险或是银行开户等日常行为都会用到,有些学校也会拿此号码作为学生证号码,其重要性如同中国的身份证号码),和用户相关的人名,相关人的生日,手机号码,居住的商店和医院等,部分信息甚至牵涉了个人性生活隐私,这次数据泄漏的后果已经非常严重。
纽约时报(The New York Times)尝试跟踪分析了一位用户所有的搜索数据, 结果成功得找到并确认了这位名为赛洛玛?阿诺德(Thelma Arnold)的62岁公民,当然还有她大量的个人隐私。莫琳?戈文(Maureen Govern),AOL的前首席技术官(CTO),最近被迫辞职,当时距她上任的时间还不到一年。
戈文此前的工作是负责监管AOL的各项商业科技职能,从而结合公司的技术战略和商业战略,其职责非常接近CIO的日常工作。AOL首席执行官(CEO)乔纳森?米勒(Jonathan Miller)的备忘录中提到,一位发布数据的研究员和其主管也被同时解聘。
此前,谷歌公司(Google,下称谷歌)今年在美国政府的压力下被迫提交了五万条数据记录,当时谷歌声称这些数据都是匿名的集合性数据。但是这次同行处理类似数据的失误,让这家历来重视用户数据安全的搜索引擎公司颇为紧张。根据《InformationWeek》的报道,谷歌首席执行官(CEO)埃里克?施密特(Eric Schmidt)最近表示“AOL的失误非常可怕”,而谷歌会继续保证用户数据的安全。
亡羊补牢
今年五月,一台包含无数当前和过往军事人员姓名、生日、社会福利号的笔记本电脑失窃,让美国退伍军人事务管理部薄弱的安全管理引起广泛关注。人们质疑,如果IT部门未雨绸缪,提早实施必要的安全政策,是否就能防止员工因为做项目而把2,650万未加密的数据记录带回家去。这台笔记本电脑是在员工家里发生入屋盗窃时被偷走的。
当六月下旬美国联邦调查局(FBI)找到这台电脑时,退伍军人事务管理部主管信息安全的官员小佩得罗?卡德纳斯(Pedro Cadenas Jr.)宣布辞职,而早前该部门负责制订安全政策的副助理秘书迈克尔?麦克勒敦(Michael McLendon)也已经离职。
受到四月和五月几起数据泄漏事件引发震动的影响,俄亥俄州大学也在全面检查它的安全政策,在这几起数据安全事件中,36.7万在读和毕业学生、校友和员工的社会福利号及其他数据被泄漏了出去。学校就此展开调查,其中包括在六月暂停了其通讯网络服务主管和互联网及系统部经理职务。
俄亥俄州大学聘用摩兰技术咨询公司(Moran Technology Consulting,LLC.)帮助它加强安全管理,摩兰技术咨询公司建议大学明确各部门相关技术人员的角色与职责。俄亥俄州大学已经开始重建它的IT部门,确定人员的角色、职责和审核制度。校董会最近刚刚批准了校长罗德里戈?麦克戴维斯(Roderick McDavis) 提交的400万美元信息安全经费申请,经费将用于加强IT安全管理和由摩兰技术咨询公司展开对所有服务器账号的审核,寻找系统中可能存在的安全漏洞,确认密码是否符合必要的强度、复杂度和长度,等等。
然而这一切的努力都是亡羊补牢,对安全政策审查、沟通和修正的最好时机当然是潜在安全问题爆发之前。“雇员或者承包商为使自己的工作更简单方便,常常做出违反安全政策的决定。”普度大学(Purdue University)研究信息保障和安全的教育与研究中心教授和执行总监尤金?史派福(Eugene Spafford)在退伍军人事务管理部事件调查委员会的听证会上表示。“这样的安全事故真是司空见惯。”史派福证实,只要能顺利完成工作且没有意外情况出现,就没人会想到去强化安全策略。
潜在威胁
让人担忧的是,公司一方面希望IT部门制订有效的信息安全条文,还指望员工都对这些条文烂熟于心并遵照执行,但是在另一方面,公司却不愿意对IT部门和整个机构的培训和教育进行相应的投入。
一份《InformationWeek》对966家美国公司进行的调查显示,“监测用户是否遵守安全政策”被评为IT主管最关注事项。安全政策通常定义了谁可以访问数据、数据可以被如何使用、用户数据可以或不可以储存在某个地方、如果数据泄密公司必须遵从哪些潜在的法律规章以及数据是否应该加密等等。
然而,调查中仍有超过一半的公司表示,安全策略与技术的培训对减少员工数据泄密没有影响,这也与《InformationWeek》2006年全球安全调查中欧洲与中国的情形吻合。实际上,全球调查中绝大多数公司承认,他们没有对员工进行常规化的信息安全政策与流程培训。
根据《InformationWeek》的调查,在美国,CIO一般与IT主管、经理和部门领导一起制订安全政策。欧洲的情况不太一样,通常由总裁或CEO直接与IT经理层和安全管理员们一起制订安全政策。大量的建议对安全政策的制订大有裨益,但这也有可能让政策制订的过程异常漫长,直到安全问题出现时,相关政策仍然处于热烈的讨论之中。
在布朗大学(Brown University),IT安全总监康妮?桑德勒(Connie Sadler)正与总法律顾问、内部审查员、教师、员工和其他人员详细讨论,一起制订管理笔记本电脑和其他设备下载与储存保密信息的政策。但因为提出这一政策对整个校园的工作方式都有巨大影响,因此它现在仅作为非强制性的指引颁布。“我们这样做的部分原因是要保护我们的IT员工。”桑德勒坦承,并希望在一年内看到这些指引能转化为政策。“虽然我们请技术人员对数据保护和数据访问策略做了规定,但实际上决策并非他们的职责范围,这得由高级管理层说了算。”桑德勒补充说。
不过,CIO们应该清楚,随着数据泄密事件的增多,业界不会再允许模棱两可的态度和官僚主义的作风危害到公司的信息安全,下一次再有事故,也许就是你的位置难保了。