电子数据几乎渗透到现今所有金融服务组织的业务流程的网络架构中。虽然人们并没有对与之相关的风险进行考量和进行整体性处理,但是这种数据对于日常操作而言仍然相当重要。敏感信息,如个人认证信息,非公共信息材料,金融报告和知识产权等都对企业的数据安全造成威胁。更为复杂的是,IDC的数据显示大部分商业信息都以非结构化的格式保存着。例如,微软的Office文档,PDF或者数据库提取内容通常都保存在共享环境中。通常,企业会感到回答下列几个与非结构化数据相关的问题时有些许困难:
1. 哪些信息是企业的敏感信息?
2. 这些信息被保存在哪里?
3. 谁可以访问这些数据,访问应用合适吗?
在接受Ernst&Young全球信息安全调查时,有四成受访者认为执行或改进预防数据泄漏技术将会是他们2010第二大重要的安全任务。当我们了解所有非结构化数据的风险,识别出数据拥有者,且做到利用已有进程和系统来保护非结构化数据,才能够说实现了数据保护。
定义非结构化数据威胁的几个方面
非结构化数据威胁的三个基本点分别是数据敏感性,敏感数据位置和对数据的不恰当访问。了解并确定这三个基本点是执行一个成功的非结构化数据保护程序的第一步。
1. 数据敏感性
或许这一式非结构数据风险的三个方面中最为人所熟知的一点。敏感数据的定义必须考虑到企业的调控环境,风险承受力和企业文化。还应该考虑用户体验的交换和非结构化数据策略的实施。
2. 敏感数据位置
从物理架构和逻辑架构两个方面来说,敏感数据的位置是保护非架构数据的关键要素。它还启用了合适数据所有权的认证。数据管理中必须决定哪个环境适用于保存敏感数据,哪些环境应该是是开放的,这样我们就只需要保存公共信息了。
3. 不恰当的访问
对非结构化数据的不恰当访问,是指当用户在没有正当理由时却有权访问敏感数据,这种访问增加了敏感数据泄漏的风险。通常对数据的访问都是开放的,很少会被撤销。随着时间的推移,这种操作会导致过量用户对数据的非必要访问。近来,统计学方法被用来减少访问量。这种访问撤销也可以在授权评论的进程中使用,这些评论进程检测可以消除一些不恰当访问。
在全面理解以上三点的基础上设计数据保护程序,为识别数据所有权和创建可持续的数据保护程序奠定了基础。当我们对这几个方面进行了全面了解后,可以通过逻辑方法来访问控件,在已有进程上进一步操作以及执行更改。
采用逻辑方法访问控件
第一步是要识别合适的商业数据所有者并创建一个可持续控制的协作型环境。因为商业数据所有者了解敏感数据的内容,所以他们能取舍哪些用户有权访问这类数据。IT这部门虽有能力控制访问,但他们通常不了解数据的内容,因此不能合理安排数据的访问权限。用于数据管理的新型科技可以加速识别商业数据所有人的进程并创建一个可持续控制的文件共享环境。各种新科技的结合,统计模型,服从一个复杂的调控型环境以及被验证过的体验都可以加速识别数据所有人的进程。商业数据所有人可以执行定期的访问评估,这样可以极大减少对文件目录的过量访问,可以允许或否定访问请求。所有这一切都可以将访问量控制在一定程度。
虽然商业数据所有权对于非结构化数据的保护的价值取向而言至关重要,但是也可以使用其他技巧将这种价值最大化,并减少对商业进程的影响。下面我们将就这些技巧进行讨论。
在已有进程上继续创建
或许企业在执行大量非结构化数据的保护程序时都抱着谨小慎微的态度。但是,有很多技巧可用来减少执行过程中产生的负面影响。第一步措施并非一定是采用全面清理的方法。已有进程和技术可以也应该被用力来保护非结构化数据,以及减轻将数据传输到受控共享环境的压力。
金融服务企业通常会发出数据访问请求和准入进程。通过改变对商业数据所有人的访问决定,访问本身就被限制在了有效商业需求的范围之内。而且,高风险的进程通常还具备一个访问评论进程。通过扩展文件共享的授权评论进程,特别是那些包含敏感信息,敏感信息的泄露风险被减少。
最后,可以修改企业的数据生命周期管理策略和程序,使其可以淘汰敏感且非结构化数据。对非结构化数据的适时清理时很重要的一件事情。为访问条款,数据管理和数据分类调整已有进程,以便启用可持续控制环境,而这也能减少因繁琐的访问请求导致系统崩溃的可能性。
执行更改
随着企业对新型调控请求做出响应,使得数据进入了一个中心阶段,他们的见识也在增长。虽然数据保护一直都享有较高的优先权,但是对数据的保护却一直都集中在结构化数据是哪个。现在,科技的发展使得我们更容易接触,捕捉,定量和惯例非结构化数据。在非结构化数据快速增长的促进下以及数据泄漏加大企业运营成本的情况下,企业都渴望能有效地处理好这种复杂的局势。
虽然非结构化数据保护程序可能要求企业考虑事情更周全,但是企业自身可以因此在审计和调控方面获得事半功倍的效果。例如,IT审计程序通常会要求出示授权评论的凭证,并补充完整请求和准入的凭证。在完成非结构化数据的保护工作后,这些要求都可以轻易满足。
如同说明性的更改一样,还会存在对抗。数据管理必须获取商业数据所有人的买进权。将访问请求发送给IT部门,并且要证明这种请求对于缺乏商业知识的人而言是耗时而有难度的。不过,作为数据所有人,商业用户可以在按需基础上进行实时的访问更改。这样就只有具备有效商业理由的用户才能访问这些商业数据。
当非结构化数据的保护工作到位后,企业会更明白哪些数据属于敏感数据,这些敏感数据被保存在哪里,谁有权访问这些数据。通过全面管理非结构化数据的风险,将可说明性和商业责任结合起来,并且在已有进程上进行创建,企业就可以真正实现对非结构化数据的保护。