需加强向第三方分享敏感数据的安全管理

sensitive-data-between-two-laptops
在个人信息安全保护领域,媒体经常曝光机构中的不良人员代价出售客户资料的事件。为了打击和防范公民个人资料的随意买卖,国家不断出台各类法规,无奈国民法律意识、隐私保护观念和个人信息安全意识都比较淡漠,加之公民资料往往经过多手地下市场交易,调查取证和执法难,所以在保障公民个人资料方面现状是“有法不依”。

我们可以通过全民的信息安全教育来强化个人资料的保护,实际上,据昆明亭长朗然科技有限公司数据安全丢失调查人员James Dong的分析:真正造成大规模的资料外泄的源头并非政府机关和大型企业,而是小型中介机构和网站。举例来讲:房管局、工商局、车管所、公安局派出所内的工作人员往往并不会对公民的个人信息感兴趣,即使有兴趣,也担心自己的铁饭碗。源头在哪儿?在与之关联的那些地产开发商、销售商、物管和房产中介;在代办工商税务登记的财务公司和提供验资服务之类的会计师事务所;在汽车4S店、各种消费类的会员卡办理中心、刻意收集实名信息的行业类社区网站和那些提供打印复印服务的小店……

如果说个人信息不当泄漏的后果大不了是可能引来些诈骗电话和广告推销,那在商业领域里的数据安全保护可不能令信息安全管理者们轻心,一条关键的情报数据可能改变行业竞争格局,也足以让一家企业陷入长期低迷。

近期欧盟信息安全委员会的一份调查显示:96%的用户会向第三方业务合作伙伙或客户分享敏感数据,而不考虑是否有足够的信息安全措施。这是因为在一个协同合作的世界里,人们对效率和成本的要求很高,很多事务都在时间紧迫、预算紧张等等压力之下运作,电子化信息安全是增加沟通效率和降低成本的重要手段,这就让许多敏感信息数据被随意传输,造成邮件、大型文件以及便携式存储媒介等等的丢失。

虽然公司内部人员并未向无关的外界分享这些敏感数据,但是很难保障第三方也是如此,如果这些敏感数据一直向下分享,要不了几次便能传递到竞争者的手中。类似的六度空间理论也出现在社交网络中,称任何使用者只需通过6.6人就可以和全部人员产生关联。那么如何能够有效防范敏感数据一直流向不恰当的地方呢?亭长朗然公司James称:市面上有些数据安全产品,使用透明加密和存取授权功能来限定敏感数据的传播范围,我们可以尝试在电子化信息化中使用这些产品。但是不要忘了仅仅停留在技术层面的安全防控措施并不足够,公司大量的敏感信息实际是并未电子化,而是由人们口口相传。所以,我们也需要更多的保障数据安全的方法,特别是在安全管理层面、流程制度层面和人员教育层面。

首先、无疑要让员工们明白什么是敏感数据,进行数据分级并向员工们推广信息数据分级理念是基础,此项工作进行的最高境界是当员工们触及到任何信息时,都会想“这些信息是否涉密呢?”

其次、要让员工们明白,敏感数据的存取都需要授权,衡量这项工作的最高境界是当员工们将要触及敏感数据时,会想一想:“自己、同事和第三方是否有权存取和披露这些敏感涉密信息呢?”

最后,则是在数据安全管理上,我们需要让各部门的总监经理主管们积极参与进来,因为这不仅仅是IT部门或安全部门的事务,敏感信息数据的安全和各部门的工作密切相关。昆明亭长朗然科技有限公司James表示:只有经理主管们担负起他们的领导责任,并且惇惇教育和严格要求下属注意保护敏感数据的安全,防止向第三方随意分享敏感数据时,信息安全管理工作方能获得大范围的覆盖,方能获得成功所需的群众基础。

业务部门的总监经理主管们并非IT安全培训方面的专家,这方面,IT部门倒是可以帮上不少忙。我们在IT安全培训领域也愿意帮助IT部门的安全经理主管们,快速而有效地建立一套信息安全意识培训体系,和导入优质的员工安全知识培训内容。