摘要:目前,各种迹象都表明,全球IT外包趋势还将持续升温。但是无论你把数据放在哪里,不管数据存放地的相关法律有多么健全,你都得采用严格的技术控制来保护数据安全。 |
技术控制
国际商业机器公司(IBM)数据隐私服务的工程总监艾尔?史密斯(AlSmith)表示,企业最常见的错误之一,是从生产系统中拷贝数据之后,直接就把它传送到了产品开发或质量控制等部门,丝毫没有考虑到接收方是否能达到处理敏感数据的标准。史密斯说,如果不是确有必要使用真实数据,那企业就应该使用过滤掉敏感信息的数据。这是企业在离岸外包数据时应当遵守的典型最佳信息安全实践之一。
在某些法规之下,可能会要求访问控制、日志记录及加密等附加技术控制。在采用这些技术控制之前,应当先对它们进行仔细的审查。技术控制应当围绕数据进行应用,以提供访问数据的人员记录,确保数据的安全,并对数据产生潜在威胁的操作做出报告。
是否需要加密外包数据也是企业应当考虑的问题之一。企业需要与外包商讨论的主要领域是加密法则、密钥存储以及审计跟踪(audittrail)。在这里我们想告诫企业一点:你一定要对各国的加密法规有所了解。美国商务部对加密输出有所管制,而中国政府在必要时要求能够对加密数据进行访问。
外包商在操作系统、应用程序及数据库内如何执行访问控制,以及它如何确保这些控制运行良好,并在出现人事变动时得到及时更新,这些问题都是企业要详细考察的。目前,外包公司每年的人员变动率都在25%以上,客户企业通过评估它们的这一流程,可以了解到一些有用的信息。
如果访问控制设计得不够灵活,不能应对必要的业务变化,那就可能为企业带来非常棘手的问题和负担。此外,企业还应当注意,访问控制应当由那些不能直接访问数据或系统的团队来进行管理。
与这些保护措施同样重要的,是基于恰当的日志记录而进行的审计跟踪。支付卡行业标准以及美国的萨班斯?奥克斯利法案(Sarbanes-OxleyAct)和金融服务现代化法案(Gramm-Leach-BlileyAct)都有集中化日志的要求。事实上,任何企业的信息安全策略都应当有此要求。对敏感数据或系统有影响的操作应当被记录在日志中,并集中化地存储到安全的位置。
由于环境和策略的不同,达到上述目标的方式有很多,企业既可选择用于控制、加密和日志记录的现货产品,也可将多种解决方案结合使用。只要客户肯买单,外包商通常对任何控制需求都是可以满足的。最具成本效益的方式,是选择那些具有标准化的高质量基本控制系统的公司。
不管企业将敏感数据储存在美国、加拿大、中国还是英国,都应当确保它受到同等程度的保护和对待。美国零售巨头TJX公司在本土遭受的数据丢失灾难就告诉我们,无论你把数据放在哪里,不管数据存放地的相关法律有多么健全,你都得采用严格的技术控制来保护数据安全。
责任编辑:Lionel