RSA:数据分类与权利管理存在失误

日期: 2008-04-14 作者:Robert Westervelt翻译:李娜娜 来源:TechTarget中国 英文

一些公司需要着手从事数据分类方案,以更多地控制其运作,并将数据泄露最小化。但是很难找到一家公司成功地实施了这一方案。Rena Mears是Deloitte全球、以及美国保密协会数据保护部经理。他相信越来越多的公司开始认识到了解数据存储位置的价值,以及删除无用数据的重要性。Mears说,当公司开始将数据视为重要资产时,它们就选择了一条正确之路。在2008年RSA会议的问答中,Mears在讨论刚开始就与大家分享了一些行之有效的策略,并探讨了为什么许多方案行不通。


  到现在为止,在数据分类方面,一些公司是不是已经坐失良机?大多数公司是否知道他们的数据存储在哪?




Rena Mears

  Rena Mears:我们做了一项调查,调查发现几乎每家公司都说他们确实进行了数据分类。当我们真正与这些公司交谈时,发现这通常意味着他们有了一个好的数据分类文件,其中某些文件还定义了一些好的类别;某些文件的分类在二到四之间。经常发生的情况是文件和其他策略都束之高阁。不清楚哪些人读取过。也不清楚该策略是否容易实施,更重要的是有一点显而易见:一些技术已经实施过,但不能高效地处理数据分类。


  我们看到对据分类越来越像分割网络。网络结构分割通常是在宁愿称之为总体层面而不是数据层面上进行的,数据层是网络的分割结构。网络的不同段充满了访问、防火墙保护或者更大的外围保护,由于数据要求更多的保护,因此这些保护措施相当有效。你所提的问题,需要问一下自己,特殊网络段实际分割和保护情况时什么样的,你多久才能发现那段网络中存在漏洞或攻击路径?


  支付卡行业数据安全标准(PCI DSS)就是一个现行的分割领域。这种情况下,数据分类的影响是怎样的?


  Mears:PCI以及整个PCI要求导致这个领域的花费在很长一段时间内比我们看到的更多。公司现在正认真处理这一问题。PCI的很多领域要求公司决策….他们正在进行分割。有些公司正在努力满足达到PCI框架,对这些公司而言,它们是否有时间返回去查看现在的网络分割是否真正完善,这种分割在各网络层是否真的行之有效?我认为这对它们是一种挑战。我认为PCI在某些方面的确对数据分类的可操作化有积极的影响。


  我们来探讨一下权限管理及其存在的挑战。看起来似乎是对人类的挑战而不是技术挑战,或者说两者兼而有之?


  Mears:你所说的都有。在我们做的公司风险调查中,我们发现,所有技术实施的管理方式都是一些到现在为止很少使用的数字权限管理技术。关于数字权限管理,技术界持爱恨兼有的态度。现在有这样一个争论:对某些产品和服务而言,数字权限管理技术是否应该保持原样,或者加以完善?我认为还存在很多挑战。一个挑战就是人。进入 公司,每个人都有如何处理数据的想法,但是没有一个人会举起手说自己拥有这些数据。因为当你告诉他们,这就说意味着对数据的任何情况都负责时,取起来的手马上会放下。数据管理工作和责任制的观念促成了这一问题。


  您对经济状况是怎么看待的?它是如何影响IT预算继续进行的?


  Mears:特别是IT花费方面,我认为我们已经在逆着经济压力前行了。低迷时期以及利润下降的任何时期,显而易见,首先想到的就是削减开支。但是,我也在考虑开发一些驱动程序,它们真正擅长处理技术解决方案和安全保密问题。我们正日益全球化,并且日益数字化,因此,我认为我们面对的是一种认证技术,IT、安全、保密和所有技术都是促使商业活动的技术继续发展所必需的。


  在严峻的经济时代,展示数据方案的价值变得更为关键。用数据分类或者权限管理方案来体现投资回报率(ROI)是不是相当困难?


  Mears:事实上,数据是一种资产,但大多数人并没有认识到这一点。只要你不将网络与这种事实联系起来,就不会相当困难。公司在处理数据时,就好像数据是免费的一样,而实际上不是这样的。当我们谈及数据分类、数据保护和数据管理时,假如我把数据当成真实的财产,我就会说我有回报率,并期望投资回报率高于对该资产的投资。如果该资产没有任何回报,或者回报是负的,那么该资产就仅仅代表着诉讼风险、违约风险或法规风险,但作为间接收入驱动,它不会给我带来收入,也不能供养我的员工,那么我有什么理由使用它?因此,获得并显示投资回报的一种方法是采用数据方案,它能够显示出你已经在集中精力有效地保护你的资产。第一条建议就是经常删除许多不能给你带来回报的所有物。


  为了促进数据分类方案得到认可,谁将制定标准?这真的是受IT驱使吗?


  Mears:答案是,现在还没有人在制定标准,或者说至少几乎没有任何人。没有人聚集起来制定一个好的标准,如果你会或者准备制定这样一个标准,请解释一下存在什么风险。由于安全工作人员突然与董事们面谈,我们通过萨班斯?奥克斯利法案(Sarbanes-Oxley)已经看了一点上升趋势。在金融业,存在的风险主要是那些提供这条信息的员工。金融业以外,我们开始关注那些开始接受这一理念的其它行业。这些行业收集各类风险,将公司风险提到日程上来,并把其定位c级别的风险。所有这些事务都需要策略。受雇于此、制定策略的人都是以C开头的主管(c-suite),并且需要具备综合的信息。

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

相关推荐