信息数据管理不善将业务推向风险边缘

据信息安全意识培训服务公司昆明亭长朗然科技有限公司的一项调查表明:大多数的高层经理们并不清楚公司的敏感数据如何存储的,更没有清晰的数据访问安全政策。

这就将公司持续运作所赖以的关键信息数据置于严重的毁坏、丢失或曝光可能性之下。在虚拟化、云计算、员工自带计算设备BYOD、以及在线存储服务日益普及的时代,公司IT服务部门已经无法继续沿用传统的内部信息系统集中控管商业数据的方法,而作为商业数据“所有者”的各业务部门经理主管们对信息安全保护的重要性认知水平可能并不够,当数据在外、内部IT环境和控管措施无法对其实施足够的安全保护之时,数据安全问题变得日益严峻。

好在商业信息化流程的变革或创新不是一天所能达成的,云计算和移动应用的优势明显,公司无疑应该积极采用, 以便在提升产品质量、产能、效率等等的同时促进科技创新和降低成本开支。问题在于对公司数据向外流动时的安全控管,多数业务部门的经理们并非云计算或在线存储安全方面的专家,他们更关注变更能证明短期的业绩获得了提升,当然这些并没有错,只是如果没有足够的安全保障,可能会为日后长远的商业成长埋下地雷。

近期,大量的互联网公司亏本做智能手机,除却通过利用入口和应用来争抢互联网用户之外,加强用户粘性,通过获取和分析用户的使用行为和习惯,提供定制化高命中率的广告服务,以便获取更多商业利益才是实质。

所以,除了这些做智能终端的互联网公司,也有不少其它互联网公司开始提供在线存储和远程数据同步。远程数据同步对于终端用户来讲的好处在于异地备份,和随时随地取用。然而,多数终端用户没能注意到的是在线数据存储服务商将如何对待这些数据的条款以及这些条款的意味:首先,服务商肯定会去读取它们;其次,除了收费的服务之外,服务商多不会为在线数据的安全性负责。黑客对数据的恶意篡改、非授权的数据访问、由于意外而造成的数据丢失等等,没有人会负责。可是,数据安全问题,用户可是伤不起。

“通常云计算服务厂商并不想伤害用户,但是谁都不能打包票不出商业毁坏或泄露等等的安全意外。”亭长朗然公司的云计算安全研究员Charles Liu说:“各类型的组织机构可得清醒过来了,将IT应用和数据从传统的内部IT网络中迁移到基于互联网的云计算,可以降低成本和增强商业竞争力,但是组织需要保有足够的安全控管能力。”

首先,选择重视客户数据安全保护的服务商,这些服务商往往会通过了相关的IT服务管理认证和信息安全管理体系认证。

其次,仔细阅读和了解相关的数据安全保护条款,并结合组织的实际情况,选择合适的数据存储、数据安全服务的项目和内容。

再次,同服务商以及云计算系统及数据的用户建立适当的数据访问控制管理流程,如数据分级、加密存储、权限审批、访问控制、访问审核、灾备方案等等。

最后,加强对各级业务部门经理主管以及基层员工进行安全意识培训,让他们了解和认识基本的信息数据安全保护常识,掌握工作相关的数据安全保护措施和流程,在最终用户可以随时随地获得相关数据的时代,这一点尤其必要。

简单总结一下,业务的成功越来越信赖信息化这一核心竞争力,而信息化的核心在于业务应用系统和商业数据,大的趋势之下,应用系统和商业数据将跃至云端,它们的最终用户和所使用的访问终端也是远处不在,安全控管也需要从传统的内网和边界迁移至云端及终端,针对终端用户的安全意识培训比以往任何时候都要紧要。

高合规要求行业切勿匆匆上马虚拟化大数据和云计算

金融、电信、能源等行业信息总监们要特别注意,不要急匆匆上马云计算、大数据和虚拟化项目。昆明亭长朗然科技有限公司信息安全顾问董志军称:尽管此前多个行业监管机关都发文要求谨慎使用信息外包服务,特别是关键的核心数据一定要留在国内,但是仍然有“顶风作案”的海外中资拓荒公司成了这一政策的受害者。

其实,对于跨国公司来讲,数据中心应该离用户最近,如果某些国家或地区的基础设施不错,那将主要用于服务当地的数据放在国内显然是不够经济的事情。网络压力,故障排差,用户支持等等都是问题。这么来说,就没有好的招了吗?弹性云计算让这一切变得轻松,特别是提供全球范围内的云服务,可以让我们省下建设数据中心的高昂成本,也可以减少项目风险——云计算,用多少付多少,国际形势再风云变幻,咱说撤就撤。

但是云计算尚未能解决关键的网络空间管辖问题,这已经不仅仅是商业安全的范围,更上升至国家安全。这个海外投资项目没有得到很好的主权安全治理认可,即使云计算相关的信息安全风险都得到了有效的控管,比如设置了磁盘级数据加密、多重的身份验证、虚拟专用网络连接等等,但是仍然免不了接受巨额罚单。

违规操作显然是一种商业风险,有高合规要求的行业被严格监管,别以为出了国门就可以不受法律约束。恰恰相反的是要受到双重法律约束——来自母国的和当地了,但是这些烦杂的信息安全要求都被信息架构人员们和IT专业人员们知晓并遵守么?

这个海外投资项目最早是想以一家本地公司的名头来弄这些IT系统,可是本地IT人力资源不够充足。于是项目经理召集IT架构人员开会讨论,一开始准备派驻中资IT人员前去帮忙搭建,培训好两三个本地运维人员后撤离。后来发现当地的进口政策很僵死,海外的IT设备运进去需要大半年,这让项目经理急得不行。幸好有云计算大鳄入驻了该国,于是使用云计算就成了顺理成章的事儿了。项目建设顺利,当初出点子和做决策的IT管理人员和团队都受到了表彰。

可是有一天,对云计算的远程访问被切断了,这事儿正好撞上一项国际政治关系大事儿,于是公司IT高管中枪了。

还好,经过与云计算公司的磋商,数据得以迁移到中国,但是这却给集团信息安全总监一个深刻的教训。信息安全方面的合规应该加强,特别是要将相关的安全政策、标准和要求传达给IT部门所有人员。这不是搭建平台方面的技术问题,但却比技术更为重要!

为了帮助各类型的组织机构快速培训职员们必要的信息安全合规意识,昆明亭长朗然科技有限公司推出了大量的信息安全合规课程,内容包括相关法律规定的解读,公司层面的要求,以及简单的安全意识测试等等,欢迎在线体验。

payment-card-security