糟糕的業(yè)務(wù)流程會向公司外部人員敞開大門、引誘內(nèi)部人員，或者干脆助紂為虐、幫助黑客或不懷好意的內(nèi)部人員為非作歹。

現(xiàn)狀恐怕就是這樣。媒體幾乎每周都會報道某組織發(fā)生重大數(shù)據(jù)泄漏事件的新聞。家得寶(Home Depot)、零售商TJX、退伍軍人管理局(VA)、輝瑞制藥公司(Pfizer)、Monster.com和美國在線(AOL)等公司都遇到了糟糕的公關(guān)和法律問題，而這些問題都是伴隨數(shù)據(jù)丟失而來的。

一個相關(guān)問題就是知識產(chǎn)權(quán)(IP)失竊。公司內(nèi)部人員輕而易舉就能訪問、復(fù)制及移動敏感數(shù)據(jù)，這讓IT安全人員坐立不安。內(nèi)部人員出售竊取的知識產(chǎn)權(quán)，利用知識產(chǎn)權(quán)自己開公司，或者以此向競爭對手謀求職位，這樣的事情更是舉不勝舉。

舉例來說：內(nèi)部人員輕而易舉就能竊取知識產(chǎn)權(quán)，這讓NeoGenesis制藥公司的主管們大為震驚，于是他們著手創(chuàng)建一家安全公司：Verdasys來解決這個問題。公司內(nèi)部的一名人員企圖竊取藥方來開辦一家新公司;讓公司主管們有所注意的不是任何IT安全警報，而是一份可疑的光盤采購單。

這種情況并非不同尋常。不同尋常的是，NeoGenesis公司發(fā)現(xiàn)并且阻止了竊取行為。一項又一項的調(diào)查表明內(nèi)部人員發(fā)動的攻擊呈上升趨勢。據(jù)美國商務(wù)部聲稱，知識產(chǎn)權(quán)失竊導(dǎo)致美國公司每年損失大約2500億美元，同時使美國經(jīng)濟減少了近75萬份崗位。

看似無害，實則災(zāi)難

導(dǎo)致數(shù)據(jù)泄漏和知識產(chǎn)權(quán)失竊的原因有好多：有的是驗證機制不夠完備、數(shù)據(jù)保存不當，有的是筆記本電腦丟失;但通常存在一個根本的問題是，業(yè)務(wù)流程存在缺陷。糟糕的業(yè)務(wù)流程會向公司外部人員敞開大門、引誘內(nèi)部人員，或者干脆助紂為虐、幫助黑客或不懷好意的內(nèi)部人員為非作歹。

“業(yè)務(wù)流程”是一個非常模糊的概念;不過說到確認存在缺陷的業(yè)務(wù)流程，你該如何開始入手呢?第一件事就是明白本公司存在哪些看似無害的業(yè)務(wù)流程。

Steve Roop是Vontu公司負責產(chǎn)品營銷及開發(fā)的副總裁，他發(fā)現(xiàn)許多小錯誤讓許多公司面臨巨大風險。他說：“有些錯誤可笑、愚蠢，而有些卻是惡意為之的;不過就連可笑愚蠢的錯誤也有可能極其危險?！彼麖娬{(diào)并舉例說，他們?yōu)橹峁┓?wù)的一家大公司每周平均要招聘400名員工。這些新員工每個人都需要名片?？蓡栴}在于，多年來，人力資源部門一直把電子表格副本送到印刷公司，而這些表格上面記錄有著員工的社會保障號碼、出生日期及其他信息;這樣一來，它們就有可能遭到身份失竊。

數(shù)據(jù)泄漏預(yù)防廠商Verdasys公司的營銷副總裁William Munroe說：“如果公司想大幅降低信息丟失的風險，它們就要對數(shù)據(jù)安全采取注重風險的方法?！?/P>

注重風險的安全方法其核心就是，重新考慮最基本的21世紀的業(yè)務(wù)流程：數(shù)據(jù)是創(chuàng)建如何、保存、修改及移動的。實際上，進入到桌面系統(tǒng)及其他端點上的任何數(shù)據(jù)都面臨危險。大多數(shù)應(yīng)用服務(wù)器和數(shù)據(jù)庫都得到了相當有效的保護;但極少有任何安全規(guī)則負責管理桌面系統(tǒng)上的數(shù)據(jù)如何操縱、復(fù)制及保存。

一旦數(shù)據(jù)遷移到了桌面系統(tǒng)上，就可以刻錄到光盤上、拷貝到USB驅(qū)動器上或者MP3播放器上，還可以用電子郵件發(fā)給任何地方的任何人。許多公司已經(jīng)認識到了一種風險：電子郵件;但即便是在這方面，安全機制仍然更多地針對的是外部風險(垃圾郵件和網(wǎng)絡(luò)釣魚等騙局)，而不是內(nèi)部風險。

要是你保存數(shù)據(jù)的范圍從桌面系統(tǒng)擴大到其他端點，這個問題就更嚴重了。不妨想想銷售點(POS)終端。眾所周知、代價慘重的TJX數(shù)據(jù)泄漏事件就是從POS終端開始泄漏數(shù)據(jù)的，而這些終端原本是不該保存數(shù)據(jù)的。

按照支付卡行業(yè)數(shù)據(jù)安全標準(該標準規(guī)定了商家如何處理信用卡數(shù)據(jù))的要求，磁條上的個人信息不能收集及保存。遺憾的是，這項明智合理的隱私/安全流程卻常常與營銷及銷售流程相沖突，后者促使許多公司不擇手段地收集消費者信息。

就拿TJX來說吧，不該收集的信息結(jié)果被收集了;而且采取了保護不力的方式來保存。

研究機構(gòu)阿伯丁集團的安全技術(shù)部門調(diào)研主任Carol Baroudi說：“每個人都需要大大增強數(shù)據(jù)的安全意識。公司至少要問一下：數(shù)據(jù)保存在何處?誰可以訪問數(shù)據(jù)?數(shù)據(jù)得到了怎樣的保護?”

DLP吸引風險資金

由于許多公司很容易忽視存在缺陷的流程，而數(shù)據(jù)又很容易在一家典型的電子商務(wù)公司的幾乎任何地方流動，國際上知名的安全廠商正在設(shè)法讓發(fā)現(xiàn)及執(zhí)行與敏感數(shù)據(jù)有關(guān)的業(yè)務(wù)策略的工作實現(xiàn)自動化。

就最基本的功能而言，這種工具可以掃描在公司網(wǎng)絡(luò)上傳輸?shù)男畔ⅲ⑶易柚顾^的“結(jié)構(gòu)化數(shù)據(jù)”(structured data)。非結(jié)構(gòu)化數(shù)據(jù)是因采用一致格式而容易被識別的數(shù)據(jù)，比如社會保障號碼和信用卡號碼。比較先進的這種工具可以研究分析數(shù)據(jù)本身的內(nèi)容，試圖保護結(jié)構(gòu)較為松散的信息，比如知識產(chǎn)權(quán)。

對數(shù)據(jù)保護采取DLP方案似乎正在流行起來，這個領(lǐng)域也因而吸引了大量的風險資金。而且這個領(lǐng)域還出現(xiàn)了一系列收購案，DLP新興公司紛紛被傳統(tǒng)安全廠商所收購：McAfee收購了Reconnex公司；RSA公司收購了Tablus公司;Websense公司收購了PortAuthority公司;賽門鐵克公司也收購了Vontu公司。

不得不說，在DLP市場里面出現(xiàn)的一系列收購案有力地證明，DLP實際上只是極其龐大的新興數(shù)據(jù)安全市場當中的一小部分。

雖然跨國公司正力求通過加強員工、合作伙伴與外包商之間的協(xié)作，從而提高用戶的工作效率、業(yè)務(wù)敏捷性及競爭能力，但它們在開始考慮自由共享數(shù)據(jù)帶來的風險時，就止步不前。除非這些風險得到解決，否則協(xié)作和“敏捷”業(yè)務(wù)實踐有望提高工作效率的好處將無法實現(xiàn)，風險也會壓倒?jié)撛诘氖找妗?/P>

每家公司為了保護數(shù)據(jù)應(yīng)當采取的五個步驟如下：

一、確認一旦離開公司、會帶來嚴重問題的五六種數(shù)據(jù)，比如包括社會保障號碼、客戶信用卡號碼、銷售記錄和知識產(chǎn)權(quán)。

二、弄清楚敏感數(shù)據(jù)保存在貴公司里面的什么地方。成立時間比較長的公司往往會發(fā)現(xiàn)，敏感數(shù)據(jù)到處都是，甚至放在員工的桌面上。

三、一旦你知道了敏感數(shù)據(jù)的位置，就要制訂相應(yīng)策略，以明確如何創(chuàng)建、保存、訪問、共享及保護數(shù)據(jù)。

四、監(jiān)控及執(zhí)行針對電子郵件、網(wǎng)絡(luò)郵件、即時通訊及其他通信方法的數(shù)據(jù)保護策略。

五、揣摩及執(zhí)行針對保存在端點及可移動存儲介質(zhì)上數(shù)據(jù)的策略。

【編輯推薦】

1. 安全頭等大事—防數(shù)據(jù)泄露
2. 究竟什么是數(shù)據(jù)丟失防護(DLP)
3. 企業(yè)迫切需要數(shù)據(jù)丟失防范措施