文章摘要:首先,这需要谨慎评估他们所持有的数据,然后在必要时保护、倾销和外包数据。一旦将数据分类,三种减少数据泄露风险的策略性方法就出现了。第二种策略是通过积极避免携带敏感信息以降低数据的价值。企业可能总是需要保护自己的“秘诀”,但是通过有条不紊地降低信息价值,他们可以减少目标,并将注意力集中于真正需要保护的机密上。但是如果企业认真分析他们所持有的数据,并采取相应策略应对,内部攻击的风险就会降到最低。
现如今,人和人之间联系更为紧密,公司掌握更多数据,同时数据泄露行为也在增加。据报道,仅2016年就有4,000起泄露事件。在美国,关于泄露行为的统计学分析发现,这些泄露事件中有85%是由了解商业业务的人实施,这类人通常是雇员或合伙人。
为保护公司自身及其用户,众公司需保护自己的数据。首先,这需要谨慎评估他们所持有的数据,然后在必要时保护、倾销和外包数据。
我们永远不可能从数据泄露中完全幸免,但是了解数据是使风险降到最低的第一步。
数据泄露的一些形式
最近,澳大利亚创业公司时珀()声称,一位前员工在离职去为他们的竞争者工作之前导出了客户数据库。
本月,一名杜邦()员工因窃取20,000份文件并意图将其卖给台湾的竞争公司而受到指控,这些遭窃文件包括商业机密。
香港威尔斯法戈银行(Wells Fargo Bank)的员工泄露了客户的信息,致使犯罪分子冒充银行客户盗取了超过50万美金。在美国,仅2014年由于身份盗取就有超过160亿美元失窃,影响了超过1200万客户。
一旦信息遭到泄露,就不能轻易恢复,这使得泄露事件更为严重。如果小偷偷窃了钱包,还可以归还。但是信息失窃就不是这么容易了,因为所有者仍然持有这些信息。数据可以无限复制,一旦发生数据泄露,就如瓶中怪不能被关回瓶中一样无法挽回了。
由于将来会出现更大量的数据存储、更多的数据隐藏和数据传输,这种情况只会随着科技进步越来越糟,而不会得到改善。
哪些数据需要保护?
保护数据第一步就是审计。组织持有何种数据?数据被存储在何处?哪些供应商、客户、监管机构或工作人员有权访问?这些问题十分重要,因为数据存在多种形式,而所有权却十分晦暗不明。
例如,一个企业拥有可以下载到员工手机上的电子邮件吗?
第二步,数据需要按种类归类,并按照公开、机密或秘密来分类。不是所有数据都属相同情况,有些不需要保密,如销售手册。
而另一方面,客户数据将被列为机密,特别是最近通过的立法中对泄露客户数据的严惩更是推动了这一行为。这些严惩措施包括对个人罚款36万澳元和对组织罚款180万澳元,将罚款作为奖赏给那些不泄露客户数据的个人或组织。
所以,众公司需要识别出高价值和具有战略重要性的信息。
下一步是确定外包制约因素存在与否以及其与组织的相关性。例如,隐私义务是否阻止了一些组织在澳大利亚境外的数据中心存储个人信息?
三种策略
一旦将数据分类,三种减少数据泄露风险的策略性方法就出现了。
第一种策略是用防护性壁垒保护敏感信息,这可以采取给信息加密的方式。
但这种方法有一些弊端。加密信息可能会致使工作流程繁琐,也可能无法阻止拥有密码且被信任的组织内知情人。这种策略会导致虚假的安全感。
第二种策略是通过积极避免携带敏感信息以降低数据的价值。这相当于一家零售商店在橱窗里挂上“无现金存放”的牌子。
公司是否真的需要持有信用卡的详细信息,或者这些信息是否可以外包给贝宝()这类公司?企业可能总是需要保护自己的“秘诀”,但是通过有条不紊地降低信息价值,他们可以减少目标,并将注意力集中于真正需要保护的机密上。
第三种策略是寻求外界援助。由于监管问题,一些部门可能不会采取这种策略,但是如果可以,在云端存储数据或雇佣安全服务提供商的做法十分明智。这些服务提供商往往会提供小型组织所没有的安保基础设施,也会提供一些专家以应对组织内部缺乏安全专业知识的情况。
但是,同之前的策略一样,这其中也存在一种权衡。外包会导致缺乏控制,这会引起其他的风险。澳大利亚红十字会发现这一弊端,当时外部管理员意外泄露了献血者的个人信息。
最终,我们永远不能完全安全。但是如果企业认真分析他们所持有的数据,并采取相应策略应对,内部攻击的风险就会降到最低。
