登录×
电子邮件/用户名
密码
记住我

为您推荐

商务互联

数据失窃:企业数据安全之道

维护数据安全的关键不在IT部门,而在董事会。企业应充分理解合规以及制定数据安全政策等问题带来的挑战,并确保相关制度得到认真执行。

去年多个著名网站发生了多起引人关注的黑客入侵事件,不仅让全球的IT经理们愁眉不展,还让首席财务官(CFO)们一边擦着额头上的冷汗,一边暗暗祈祷“上帝保佑,别让我们也摊上这档子事”。

索尼(Sony)是遭到黑客组织LulzSec攻击的受害者中最著名的一个。在侵入索尼旗下多个网站之后,LulzSec窃取了超过100万名用户的密码,令索尼品牌形象遭受重创。

令信息失窃用户更难接受的是,事后发现此次被盗的用户密码甚至没有加密,而是直接以纯文本形式储存。

在那之前,博客网站Gawker也遭受了一次类似的攻击,一个自称为Gnosis的黑客组织盗取了该网站130万名用户的账户详细信息并公开发布到网上。

此后,正当新闻国际(News International)的电话窃听丑闻闹得沸沸扬扬之际,黑客组织LulzSec对该公司进行了攻击,将访问太阳报(Sun)网站的用户链接重置到了一个黑客页面,并声称已盗获了这家小报工作人员发出的电子邮件。

互联网安全公司Sophos首席技术官(CTO)格哈德•艾切尔贝克(Gerhard Eschelbeck)表示,只要一想到此类安全事故CFO们就应夜不能寐。

咨询公司凯捷(Capgemini)主数据管理(Master Data Management)业务主管史蒂夫•琼斯(Steve Jones)对此表示认同:“首席财务官们应当时刻保持清醒,关注自己在整个公司业务层面肩负的责任。”

艾切尔贝克建议称:“一开始就制定好相关的规章制度有助于使相关人员分清主次、明确各自的角色和职责。”他表示,“首席考虑制度层面,然后再考虑执行层面。”

维护数据安全的关键不在于公司的IT部门怎么做,而在于董事会制定怎样的规章制度。一旦发生安全事故,不但需要花费金钱去进行处理,还可能对品牌形象和公司声誉造成巨大损害。

例如,公司高级管理层应当决定在公司日常运营中是否采用日益流行的个人自带设备(简称BYOD)政策。

越来越多的公司允许员工在工作中使用自己的智能手机、平板电脑甚至个人电脑,因为此举有助于将公司运营成本控制在较低水平。但艾切尔贝克表示,这可能导致重大安全事故。

“如何管理员工在工作中使用的个人设备?应执行怎样的规章制度以确保这些设备得到恰当的安全保护?”艾切尔贝克强调,公司的管理团队应决定采取何种安保制度,并由IT部门将其付诸实施。领导团队的软弱可能导致IT部门选择符合自身偏好、但对公司业务而言未必最佳的解决方案。

高管级别的管理人员应当关注的问题包括合规以及应给旧数据储存投入多少成本以应对监管当局可能提出的数据需求等等。在这些领域,IT部门优先考虑的问题将与CFO的不尽相同。IT部门倾向于采用尽可能好的设备,而CFO则希望采用成本最低但效果最佳的解决方案。

艾切尔贝克表示,问题的关键在于效率与成本,而不是努力追求某种神秘的“金牌标准”。他说:“公司机构能够达到铜牌或者银牌标准我就已经很开心了,不是每个领域都需要达到金牌标准。”

他补充道:“应从风险管理角度来看待数据安全问题,海量信息在哪里储存?公司落实到位了哪些安全制度?”

例如,IT基础设施中与互联网连接部分的数据安全应达到金牌标准,而其他一些数据,比如一家餐厅的过期菜单则无需“防弹”保护。

版权声明:本文版权归FT中文网所有,未经允许任何单位或个人不得转载,复制或以任何其他方式使用本文全部或部分,侵权必究。

读者评论

FT中文网欢迎读者发表评论,部分评论会被选进《读者有话说》栏目。我们保留编辑与出版的权利。
用户名
密码
设置字号×
最小
较小
默认
较大
最大
分享×