不断出现在媒体头条的数据违规事件极大影响了公司的信誉和利润。组织投入大量资金购买预防数据丢失的产品来监控、记录和防止敏感信息在未经授权的情况下离开组织。问题是,很多人把这个问题想错了。
美国国立卫生研究院、WellCare健康规划公司与WellPoint公司和美国联邦政府近期发生的安全事故造成数十万个病人信息泄漏,包括社会保障卡号码、生殖治疗和癌症记录均受到威胁。在很多例子中,如果组织采取不同的措施就可能避免这些事情发生。
传统上,组织在预防数据丢失时主要关注“移动中的数据”——通过电子邮件或即时消息离开组织,或复制到移动存储设备的信息。某些产品专注于网关或内部网络与互联网连接的地方,而其它产品注重用户的笔记本电脑等端点设备。这些解决方案在保护移动数据时非常成功,但是根本无法保护静态数据。
笔记本电脑丢失和静止数据问题
数据在大多数时间都处于静止状态。公司有很多措施来保护服务器上的静止数据,但却忽视了员工笔记本电脑上的静止数据。把笔记本电脑遗忘在机场、出租车司机或酒店房间的事情很可能发生。事实上,今年发生的多数数据丢失事件都是因为笔记本电脑丢失或被盗。根据Privacy Clearinghouse的说法,超过1.66亿条美国人的记录(个人数据)已经受到危害。
市场上有很多产品会让盗贼很容易地越过用户的密码并访问硬盘上的数据。很多时候,员工会把计划书或被要求把机密信息存储到笔记本电脑上。最普通的例子是包含数千个机密客户记录的电子表格文件。取得这种笔记本电脑,访问记录并使用其中的信用卡号码对某些人来说并不是困难的事情。
2007年2月,McAfee对美国企业进行的一项调查(内部威胁:数据丢失灾难)发现,由于企业不能全面沟通自己的安全政策与松懈的员工行为,企业为抵御外部威胁和黑客所购买的解决方案经常被削弱。
实际上,这份研究报告显示,许多美国企业没有制定敏感文档的处理政策,而对于确实制定了政策的企业,24%的员工根本不知道这些政策是什么。
不管怎么说,员工让企业面临甚至更为严重的安全威胁,而且有时候是在无意识中。这种威胁不仅会危害组织的品牌和声誉,而且甚至可能危害到企业本身的生存能力。
该怎么办?
加密必定是任何数据泄露防护计划中的关键考虑因素。这在笔记本电脑丢失事件中尤其重要。当笔记本电脑丢失或被盗时,加密可以防止非法系统访问并让其中的数据失效。
公司还可以通过透明的加密和解密保持运营效率。随着技术的进步,空闲时加密成为可能,因此不会造成系统性能降低。
访问控制可以防止非法访问和数据丢失。两级和三级启动前认证等技术支持多种不同的智能卡和USB令牌。端点加密可以支持单一登录,最小化对授权用户的骚扰以及与Windows的密码同步。
另外一项关键要求是内容感知控制,通过监控数据的访问、创建和操纵来防止丢失。复制、粘贴、压缩或加密的数据也必须进行保护,而且不中断日常业务活动。
企业至少需要负责监控、评估和更新安全解决方案,把员工行为和外部威胁都考虑在内。拥有防止违规和保护数据的程序和技术非常重要,同时员工的行为和态度也需要改变。
消费者信任企业能够保护其信息的安全。这些企业必须证明,他们很严肃地看待这种责任,并尽全力保持用户数据安全。