新型的通讯渠道令员工丢失企业数据变得更加容易。安全专家也意识到这一点,开始着手研究新的措施来保护终端设备到网络上信息的安全。
但是正如我们在名为"风险零容忍:深度防御与数据防损技术的兴起"的InformationWeek分析报告中所探讨的,IT部门的任务就是让大家都满意。你们的知识工人希望在任何时候任何他们选择的平台上,都能使用他们偏好的工具和应用软件来访问他们的数据。首席执行官需要在不影响生产力的前提下确保企业不成为下一个数据损失的受害者。审计人员要证明敏感数据仅供得到得到授权的用户使用。首席信息官则需要资金支持,因为又一个预算季又要到来。而首席财务官呢?他们需要的就是让投资回报率来说话。
配置数据防损技术的系统能帮助你满足这些所有的需求。
技术成为救世主
在我们的报告中,我们探讨了数据防损首批应用者所面临的挑战,我们正在进行的InformationWeek Data Loss Prevention Rolling Review也证明了这一点。我们还制定了战略规划,成套工具,技术和最佳实践方法来确保信息资产不会从指缝中溜走。
或许目前最大的障碍就是获取资金支持。数据防损产品非常昂贵,但另一方面,数据丢失事故造成的损失也同样巨大。幸运的是对于安全团队来说,确保法规遵从是数据防损厂商一直在关注的方面。正如我们对326名企业技术专家所做的InformationWeek高官安全优先权选择调研分析报告所反馈的结果那样,当被问及什么是影响企业信息安全项目发展方向的最大因素时,IT专家和高管们都将行业和政府法规放在了第一位。
我们的提议:具备较强成长性的行业在一件事上是达成共识的–催化剂。还记得2008年夏天油价突破140美元或者说气价一举打破每加仑4美元大关的时候吗?一时间有关多方会谈和替代能源研发的呼声风生水起。在数据防损领域,这个催化剂显然就来自于令人难以容忍的法规环境的复杂性和不稳定性,而这种环境又是我们必须参与和遵守的。资金问题也紧随其后。不仅卫生保健提供商和零售商这样的公共公司要担心数据隐私遵从的问题,就连波士顿的小型匹萨饼店主和旧金山的城市图书馆员也必须关注各州制定的数据隐私法律。
根据我们对数据防损的调研,推动和证明企业遵守数据隐私法规或者其他行业规范的需求是企业购买企业数据防损产品套装的催化剂,风险规避产品解决防范亦是如此。仅有11%的受访者表示违反法规的罚款无法抵消购买数据防损产品的费用。有14%的受访者认为他们不受任何法律法规的支配。
我们想知道他们身在何处。
一旦资金得到保障,企业面临的下一个挑战就是如何让涉猎广泛又经常模棱两可的法规需求与专门的数据防损特性,产品和套装相辅相成。新出台的马萨诸塞州数据隐私法就是一个相关范例。如我们所熟知的201 CMR 17.00,这已经被大家普遍认同为影响最深远的州立隐私法案。
虽然立法是消费者保护拥趸者的一种胜利,但是对于IT来说绝对是个梦魇。为什么这么说呢?制定相关法案的立法者对执行法规遵从的难度毫无概念,可能即使他们知道也并不关心这个问题。CMR 17.00的执行日期被推迟了两次;目前它的生效日期被定在2010年1月1号。两次延迟是因为私营企业对如何遵循法规方面存在难题以及相关的执行成本存在疑义而导致的。
尽管存在争议,但是我们仍然希望越来越多的州县都能采取类似的法律法规。对于国家隐私法案也在讨论之中。立法者显然需要听取来自公民的呼声来证明信用卡诈骗和盗窃是亟待解决的问题。他们对那些将个人信息玩弄于股掌之间的公司也厌烦至极。
阻止那些数据
正如我们所期望的,当我们问道什么是参与投票的受访者最关心的安全问题时,压倒性多数都认为是丢失的信息类型,包括消费者信誉和社会保险号码等。我们也要求受访者对七种数据防损产品的性能按照重要性级别从高到低进行排序。假定电子邮件是信息泄露中最大的导火索,文本安全也毫无意外的成为大家关心的问题,对电子邮件和附件进行扫描,查看是否存在违反协议的内容并采取必要的行动排在了第一位。
这意味着全世界的数据中心都将开始执行国家安全机构制定的安全法规吗?比如说所有企业通讯中采用无线窃听装置?当然不是,但是从某种程度上说,技术帮助企业来管理他们的安全风险,将数据泄露和违法的风险都降低到最小化,你可以打赌网络数据防损的保险单将逐渐得到普及。
接下来的问题是:在预算紧缩的季节里什么是证明数据防损价值的最佳方法?在电子邮件网关上执行这种保护又不中断的最好方法又是什么?
我们会设法将咨询台电话降低到最小。在投资回报率方面,数据恢复,包括文件共享,电子邮件数据库和终端硬盘以及那些对企业和用户安全至关重要的信息对于有着迫切安全需求,电子恢复需求和严格的法规遵从需求的IT部门来说都是亟待解决的问题。
不过在制定预算时,那些为日渐增强的政府干预奠定基础的企业将有所斩获。我们部署数据防损和研发的战略将有所帮助。
我们发现成功的数据防损项目有一些共同特点:他们能取得企业最优先的支持。他们实施的不是技术而是坚固的使用协议和强制措施,这些流程是可以被所有部门所接受和认可的。多头并进来保护关键数据和系统要与我们深入探讨的各种技术紧密配合。