企业CIO数据信息安全建设应规避十大误区

xiangzhao

误区一：预防信息泄漏是信息管理员的事情　　保护公司避免病毒等外部威胁向来是安全管理员的份内事，但保护公司避免信息泄漏需要极其宽广的视野。如今，保护敏感数据的难题涉及公司的各个部门： 从IT部门、法律部门到董事会。CIO们每天都必须面临如何落实必要的技术和流程，以便保护机密数据、遵守各种法规的问题，但他们必须在不影响日常业务运营的前提下做到这一点。
　　误区二：如果阻止了即时通信、基于万维网的电子邮件和外部存储设备，就用不着担心信息泄漏了
　　控制即时通信、万维网电子邮件和外部存储设备也许能增强基本的数据安全，不过在如今这个高度联网的世界，严格限制信息的流动可能会妨碍业务流程，最终制约公司的发展。行之有效的预防手段应该既让信息留在公司的防火墙内部，又不影响日常业务运营的顺利开展。信息管理需要采取面面俱到的方法。最佳实践包括： 针对即时通信和万维网使用等方面制订泄漏预防策略; 另外要使用越来越多的技术，比如端点安全和加密技术，好让员工们能够安全地使用外部存储设备。
　　误区三：我知道自己的数据位于何处
　　大多数公司对自己的数据位于何处(无论数据是在文件服务器上还是在公司的笔记本电脑上)并不是非常清楚。知道谁可以访问数据、数据在网络内外传输的情况，这对管理信息而言至关重要。除了识别敏感信息外，CIO们还必须明白其他有风险的方面，比如未加保护的端点，是否针对常见的数据丢失途径(如即时通信和上网冲浪)制订了互联网使用策略、策略是否得到了执行，等等。
　　误区四：我最应该关心的是保护数据避免数据失窃和内部恶意泄漏
　　恶意数据泄漏和失窃显然是要处理的重要方面。不过，大多数泄漏并非有意为之。失误、违反现有的业务或者IT流程以及员工和承包商的疏忽，这些因素都会导致泄漏。据弗雷斯特研究公司统计，实际上，有70%以上的泄漏事件是不小心造成的。由于几乎每台计算机上的预期收件人都有电子邮件自动填充功能，很容易看到电子邮件一不小心就发送到了公司外面。在制订行之有效的信息泄漏预防策略时，必须关注偶然性的数据丢失，以便应对绝大部分的日常风险。
　　误区五：信息泄漏预防技术很复杂、成本很高，所以不值得安装
　　每家公司的情况各不相同，因而泄漏带来的潜在成本也各不相同。不过已经有研究机构进行了大量研究，分析受害者遭遇的泄漏事件，如美国零售商TJX最近就专门拨款1.18亿美元来应对数据泄漏。弗雷斯特研究公司估计，客户信息丢失带来的成本为每条记录90美元到305美元之间，具体取决于所丢失信息的类型和公司。
　　不过，客户信息只是大多数人平时看到的泄漏信息当中的一小部分而已。并购方案、收益报告和知识产权等机密信息一旦泄漏，给相关公司带来的影响会大得多。每家公司需要进行风险管理评估，以便量化泄漏事件带来的预期损失。可以由此确定是否有必要实施信息控制措施，比如信息泄漏预防技术—在大多数情况下，许多公司发现有必要实施这类措施。
　　误区六：员工们知道什么信息可以发到公司外面、什么信息不能发到外面
　　大多数员工并不是有意泄漏信息的，如果经过适当的培训和教育，再结合信息泄漏预防技术，就可以大大降低数据泄漏风险。不过，绝大部分员工并不知道公司所订的策略。员工们往往不明白为什么通过网络邮件把工作文档发到家里去处理具有很大风险，也不明白为什么密码保护很重要。在移动性越来越强的工作环境下，员工培训显得更加重要。
　　员工教育方面的最佳实践从沟通开始入手。应当在新员工岗前培训期间提供员工培训，然后是一年一度的进修课程，教他们明白可以访问哪些信息、如何使用信息。第二步就是使用技术来提供持续教育、自动加强策略的机制。比方说，要是有了信息泄漏预防解决方案，哪些员工违反了策略，就会自动收到管理人员发来的警告信息。这样，他们就会知道为什么自己的某种联系违反了策略，以便将来能够有所改进。

作者：小黑　来源：支点网