安全策略:如何建立非结构化数据保护项目

在当今的金融服务组织中电子数据已经融入到了几乎每一个业务流程。这些数据对日常工作的进行非常重要,但是金融服务组织对与之相关的风险却很少进行全方位地考虑、测量和解决。敏感数据,例如:个人识别信息、非公开的信息、财务报告和知识产权,给组织带来了风险。更严重的是,根据IDC的统计,高达80%的商业数据均以非结构化的形式保存。例如,经常储存在共享的环境中的微软office文档、PDF文件或数据库文件。不少组织发现很难回答以下这些与非结构化数据相关的问题:

  • 什么数据对于组织来说是敏感的?
  • 这些数据存放在哪里?
  • 谁有访问这些数据的权利,以及访问的权限是否恰当?

去年,安永全球信息安全调查的结果显示有40%的企业认为实施或改进数据丢失防护技术是他们2010年第二重要的安全措施。如果企业能充分理解非结构化数据的风险,具有合适的业务数据责任人,并且能充分利用现有的程序和系统将非结构化数据保护项目从理论变成现实,那么企业对数据保护所进行的努力的效果将最大化。

定义非结构化数据风险

非结构化数据风险的三个主要方面是:数据敏感性、敏感数据存放点以及不恰当的数据访问。理解并量化这三方面是成功执行非结构化数据保护项目的第一步。

  • 数据敏感性可能是非结构化数据风险的三个方面中最为人熟知的。在对敏感数据定义时应当考虑组织的规章制度、风险偏好以及组织文化。同时也需要考虑用户经验和非结构化数据政策实施之间的平衡性。
  • 敏感数据的存放点,无论是物理基础设施还是逻辑组织,数据存放点都是保护非结构化数据的重要组成部分。这同样也是确定合适的数据拥有关系的基础。管理者应当决定哪些环境适合存放敏感数据,哪些环境应当是“开放访问”的(应当仅存放公开信息)。
  • 对非结构化数据的不恰当访问,定义用户在没有正当业务理由的情况下可以访问敏感数据,增加了敏感数据泄漏的风险。对数据的访问权限常被批准,但很少被收回。久而久之,这样会导致过多的用户拥有非必要的数据访问权限。目前有些技术可以通过统计方法来判断用户的活动情况以帮助减少非必要的访问权限。对于减少访问权限的建议也可以在权限审查流程(主要检测和消除其他不恰当的访问情况)中提出。

在全面理解这三方面的基础上设计数据保护项目为识别数据所有权以及建立一个合理的数据保护项目搭建了一个平台。通过采用逻辑方法来控制访问,并基于现有的流程以及施行改变的方式来建立最初的保护体系。

采用逻辑方法进行访问控制

第一阶段的其中一步就是确定合适的业务数据拥有者并且建立一个可持续控制以及合作的环境。业务数据拥有者了解敏感数据的关联性,所以更适合来决定哪些用户应当有访问数据的权限。IT技术可以对访问进行控制,但是缺乏对数据内容的理解,因此不能做出合理的决定。数据治理的新兴技术可以加快识别业务数据拥有者的过程以及建立一个可持续受控的文件共享环境。新兴技术、统计模型、符合复杂管控环境的要求以及过去经验的结合可以加快识别业务数据拥有者的过程。业务拥有者就可以定期审查访问权限,以减少对档案文件的过量访问权限,并批准或拒绝访问请求的进一步活动。同时结合对访问的定期检查,可以对非必须的访问进行控制。

业务数据拥有者是非结构化数据保护价值体现的重要组成部分,此外,其他技术也可以最大化其价值并增强总体效果同时减少对业务流程的影响。这些技术将在下面讨论。

建立在现有流程的基础上

由于任务的规模,组织可能会对实施一个大的非结构化数据保护项目而担心。但是,有许多办法可以降低其影响。最初建立的体系并非都要从零开始。现有的流程和技术可以并且应当被采用,以减少对非结构化数据进行保护所需的努力,同时简化转换到受控的文件共享环境的过程。

金融服务组织通常会引入数据访问请求和批准流程。通过将访问请求重定向到业务数据拥有者来确保访问者都有业务上的需要。此外,通常对于高风险的应用应该有一套访问审查程序。把这些授权检查过程扩展到文件共享方面(尤其是包含敏感数据的文件),可以降低敏感数据泄漏的风险。

最后,需要修改组织的数据生命周期管理政策和流程,以包含敏感非结构化数据的移除和处理过程。对于非结构化数据的及时处理是非常重要的,因为许多数据生成之后就过时了。调整现有的流程来审批访问权限、数据管理和数据分类以达到一个持续的受控环境,这样将降低数据由于请求、批准和授权流程过长或者数据访问不透明(谁访问了哪些资源)而导致被破坏的可能性。这些是组织业务单元可以理解并应充分意识到的标准。

执行变更

当公司满足了当前法则的要求并将眼光放在长远发展上时,数据就成为了重点。数据保护早已成为高优先级的活动,但关注的焦点一直在结构化的数据上。但是现在,新技术使得采集、量化和管理非结构化数据变得更简单。非结构化数据的快速发展和规则违反成本的加大推动了公司对于解决这个复杂问题的需求。

非结构化数据保护项目可能还需要业务用户的努力,流程的效果则需要通过审计和规范化来达到。例如,IT审计师通常要求职权审查的证据,包含完整的申请以及批准签字。通过非结构化数据保护就可以轻松地满足这个要求。

对于责任的变更可能会有一些阻力。管理者需要通过对业务数据拥有者传达这个变化给企业带来的实际价值从而获得他们的支持。向IT部门提交访问请求并由某个对组织并不十分了解的人做评判既费时又费劲。但作为数据拥有者,业务使用者有能力去服务自己,在需要的情况下进行权限的实时变更。这个能力同时也确保了只有那些有合理业务需求的用户才能访问业务数据。

有了非结构化数据保护项目,组织可以对敏感数据、敏感数据的存放位置以及用户访问权限有更清楚地了解。通过对非结构化数据的风险进行全面的管理,把管理权限和业务职责相结合以及在现有基础上建立该项目,组织可以将非结构化数据保护从理论转化为实践。