源自内部的安全事故调查分析

有8成的组织确认发生过由于员工的疏忽大意或内部人员的恶意而造成数据丢失事故,一项由昆明亭长朗然科技有限公司主办的数据安全调查表明:只有极少数3%的受访者自信没有发生过由于员工的问题而造成数据丢失事故。

不可否认的是,数据的丢失会给各类公司机构带来或多或少的损失,而丢失数据的获得者可能是有意愿的,也可能是无意愿的。有意愿获得这些数据的多数是和组织机构有关系的,比如投资者、供应商、客户、商业合作伙伴以及竞争对手,当然也有一些其它的一些关注者比如媒体、社会大众、行业从业人员和监管层等等。

历经多次大型黑客攻击事故之后,我们知道即使将信息系统或数据放在那儿不去动它们,也可能会丢失,因为安全毕竟是一个动态的过程,新的系统弱点会被陆续发掘出来,而新的安全威胁也会不断出现。所以,我们依据行业最佳实践,建立了信息系统安全作业流程,比如漏洞扫描流程、补丁修复流程、渗透测试流程和安全测评流程等等。

在系统层面,包括主机、操作系统、网络、数据库和应用等层面,我们进行了有效的防范安全入侵事故的防范措施,这些是必须肯定的。与此同时,我们却常常忽略了这些信息系统、信息数据以及安全控管措施和安全操作流程的操作者、使用者和受影响者,只有人们的安全认知水平达到了适当的层次,整体的安全管理体系才算完善。

而在信息安全管理体系中,人员是最复杂的元素,不会像系统那样可以精准无误而忠诚地接受安全指令,也不会像系统那样永不懈怠。人毕竟是活的生灵,人们可能会在安全控管方面疏忽大意,更可能会误解和忘掉正确的安全操作实践……

既然大部分的数据丢失事故和内部员工有关,就应该开始着手解决,而方法无疑是加强对员工们进行必要而充分的信息安全意识教育了。

五花八门的数据丢失渠道

在知识经济时代,“知识就是力量”,而现代组织的成功很大程度上依赖知识产权的保护,而对知识产权进行保护显然并非申请专利或防止一份文件泄露那么简单。

昆明亭长朗然科技有限公司在全球范围内进行的一项数据安全泄露调查表明:公司敏感甚至机密数据丢失的渠道五花八门,对于最大的可能渠道,受调查群体没有明显的一致性倾向。

近几年,互联网接入带宽不断增加,基于互联网的数据传输、存储和处理等应用层出不穷,社交网络、在线存储和点对点分享无疑加快了数据从互联网上丢失的速度。

而传统的电子邮件、计算设备丢失以及黑客入侵等等渠道仍然占相当的比重,特别是通过外发邮件方式居然稳占数据丢失的可能渠道之榜首。

不能忽略的是员工口头分享部分,大部分基于网络或实体的数据丢失多数可以通过各类安全控管手段如数据丢失防范DLP系统进行预防,也可以通过电子鉴证手段或检查CCTV录相等方式来进行追溯。但是员工们私下对敏感信息进行的口头分享却是非常难以监控和追溯的。

口头分享可能有意外的不经意的,也可能是刻意的,更可能是受到引诱或诈骗,典型的例子如要好的同事之间分享的内幕消息、商业间谍实施的基于电话的社工攻击等等。

要防范敏感的数据丢失已经成为公司安全管理层的重要工作目标,而面对五花八门的数据丢失渠道,应该从何处下手呢?亭长朗然公司认为:理清数据资产清单是第一步,同时给不同保护级别的数据信息进行安全等级划分,比如分出机密、敏感、内部以及公开几个级别。更重要的一步是要让员工们了解、认同和遵守不同级别数据所需的安全保护措施,这些安全保护措施的实施无疑需要结合管理实践,想要获得好的控管效果,需要用户的理解和支持,当然和安全意识沟通密不可分。

只有懂得数据信息安全的基本知识和理念、知道如何在日常工作中降低业务面临的数据安全风险,保护公司至关重要信息资产的能力方可得到积极的提升。