在雲計算的時代,信息安全問題越來越受到重視,保護信息安全同樣也成爲企業發展業務的重要手段。越來越多的企業選擇開展線上業務來增強他們的競爭力,並通過改善業務流程來擴大利潤。而在這個過程中,用戶的信息作爲最重要的數據要確保不會落入不法分子的手中。而通過完整的信息安全體系構建的環境可以幫助企業避免這些危機的出現,企業可以通過這些用戶的信息來獲得最有利的情報,取得最佳的收益。
數據安全技術的演變
在最近關於企業信息安全的報告中,專家們都期望着信息安全能夠隨着近幾年來幾項截然不同的技術的不斷髮展,而得到進步。這幾項技術所包含的元素毫不相干,例如,Web應用防火牆,應用程序安全測試解決方案,數據庫活動監測(DAM),數據標記以及身份管理等等。
對於如何整合這些完全不同的技術以及來自於他們的數據就成了一個關鍵性的需求。根據一位ESI的一位分析師的觀點,當前這些互不相干的數據安全技術,實際上限制了安全分析系統來獲得監控日誌並取得報告,缺乏必要的數據管理,分析以及規劃的能力。而當前確有很多企業採用這些獨立的安全技術,由於很多獨立的產品之間並不能很好的協作,這實際上是對追求完整的企業信息安全體系是一種阻礙。
而且從另一方面來講,獲得安全信息並不意味着只是收集安全日誌,你還需要瞭解到你的敏感數據在哪,數據的內容是什麼。在今年的四月,得克薩斯州審計辦公室曾經發生一起數據泄露事件,大約350萬人的姓名、社會安全號碼和郵寄地址,另外還有一些人的出生日期和駕駛執照號碼在網上被公開泄露。正是由於得克薩斯州審計辦公室的一臺沒有加密的誰都可以訪問的服務器,得克薩斯州三個政府機構的數據庫所收集的敏感信息被泄密了將近整整一年,這三個政府機構是得克薩斯州教師退休中心、得克薩斯州勞動力委員會和得克薩斯州僱員退休系統。據稱負責把數據發佈到網上的幾個員工違反了部門的工作程序,這起泄密事件披露後已被開除。
安全體系規則同樣重要
如果不安裝技術性的監控解決方案來認真執行程序,那麼就沒有太大意義。員工能夠將數據庫信息置於如此不堪一擊的險境,證明要是整個安全體系的規則沒有采取"強制實施的有效手段",會給企業帶來多大的風險。得克薩斯州現在因這起泄密事件而面臨兩起集體訴訟,其中一起要求對該州判以向每個受影響的人賠償1000美元的賠償處罰,考慮到這起事件影響到數百萬人,這筆費用無疑如同天文數字。
因此,一個真正全面的安全體系,還要考慮到執行程序的員工的角色以及職責。例如,如果某個僱員可以接觸到實際的客戶數據,那麼他會不會利用工作之便取得這些數據,這是一個不得不考慮的問題。而採用一套合理的規則就成了防範此類時間發生的關鍵,例如,對那些可以解除到客戶數據的員工強制執行“最低權限”可以有效的防止發生員工數據泄露事件,因爲無論是誰,都可能因爲貪婪或者其他原因獲得企業的數據。
可以肯定的是,這些數據所能驅動的商業價值是肯定要遠遠超出部署安全體系所花費的成本的。廠商通過分析數據來做出更好的商業決策就是一個很明顯的證據。就像商業情報提供商可以通過軟件來讓一家保險公司利用客戶數據來取得更好的決策一樣,數據安全提供商也可以通過幫助企業保護他們的關鍵性數據來使企業充分利用這些數據做出最有利的決策,從而促進整個企業的發展。