企业敏感信息保护之道
回顾过去几年,因企业敏感信息泄漏而引发信息安全事件的有关报道不断见诸各种媒体,由此引发的种种风波,对相关企业的声誉、财务和合规方面都产生了不容忽视的影响。作为企业风险管理方面的专业咨询机构,德勤在与各行业的交流中,注意到企业决策层日益重视敏感信息防护,部分企业已经采用了数据泄漏防护 (Data Leakage Prevention,DLP) 等安全技术方案。这些产品在一定程度上为敏感信息建立了一道技术防线。然而,很多客户抱怨高昂的信息技术开支并没有明显改善企业在敏感信息保护方面的成效,一些用户由于日常工作受到功能复杂的安全工具的干扰,导致工作效率降低而不得不最终放弃之前投入巨资的保护方案。怎样才能全面有效地保护敏感信息,为企业经营管理保驾护航?我们听到了来自企业越来越多的疑问和困惑。
本文首先概述保护敏感信息的必要性以及DLP产品的主要功能及其局限性,然后介绍德勤在保护企业敏感信息方面的整体方法和思路,并探讨敏感信息保护体系为企业带来的价值。
一、何为企业敏感信息
近年来,企业的业务运转越来越依赖信息系统的支撑。企业中的大量数据,在不同业务部门、业务流程和信息系统间持续地生成、保存和传输,有时还需要与外部第三方进行数据交换。
一般而言,企业对于具有一定商业价值的信息都应采取必要的保护措施。其中具有重大商业价值,并直接影响企业竞争力和正常运营的核心数据一旦泄密,会给企业带来较大的声誉和经济损失,甚至面临法律风险或产生其他负面影响。这些核心数据,必须对其采取完整和充分的保护措施。这些也就是我们所称的企业敏感信息。
从存在形式来看,敏感信息可以是数据库信息、XML文件、应用系统内的数据、有详细属性的文件等结构化数据,也可以是邮件、模板、音频、视频、图像以及纸面文档等非结构化数据。从数据类型来看,敏感信息可以是经营管理类或技术类信息,也可能是员工或客户的隐私信息。数据所面临的威胁既可能来自内部,例如心怀不满的员工、合作伙伴等;也可能来自外部,例如商业间谍、网络钓鱼、黑客攻击等。
无论何种形式或类型的企业数据都可能面临来自内外部的威胁和攻击。
二、敏感信息保护正越来越受到企业重视
尽管大部分企业在战略角度对敏感信息保护的重要性都有一定认识,伴随着组织架构、业务范围、信息技术等不断变化,企业又常常顾此失彼。当前,敏感信息所处的外在环境愈来愈趋于复杂,敏感信息防护需求正成为企业决策者在信息安全领域最为关心的要素。
·全球化。在世界不同国家和地区开展业务的企业,可能有不同的基础架构和信息管理系统,使用不同的第三方服务提供商,使用不同的采购和销售流程,面临不同的法律监管要求。
数据泄漏在不同行业和规模的企业中层出不穷。
·数据流动。如果没有对敏感信息的流向和载体进行必要的控制,则敏感信息的跨部门、跨机构传播和复制存在很高的泄漏风险。
·数据爆炸。据IDC统计,仅2010年,全球企业就产生和复制了过万亿GB的各类企业数据,超过之前5年内数据之和的9倍。规模的不断增长使企业敏感信息的有效管理成为更加复杂的挑战。
·移动技术和云技术的广泛运用。近几年,云技术和移动应用的迅速发展,如无线网络、移动存储、移动计算(例如iPad、智能手机)、云服务(IaaS、PaaS、SaaS)等,使信息的访问途径和方式得到了前所未有的扩展。据有关调查,约56%的公司认可并允许雇员在工作中使用个人信息处理设备,31%的雇员拥有的移动设备连接于公司网络,其中66%为笔记本,25%为智能手机,9%为平板电脑。
无论是有意还是无意,随时可能发生敏感信息泄漏。
随着数据规模的不断扩大,越来越多的数据泄漏事件随之而来。近年来的趋势表明,企业敏感信息已经渐渐成为企业不正当竞争甚至网络犯罪的牺牲品。在利益的驱动下,一些敏感信息可能最终被泄露给竞争对手或是不法分子。近些年各行各业信息安全事件证明了这一点:
·2012年3月:某保险公司泄漏了上千投保人和受益人的电邮地址。
·2011年10月:某零售企业泄漏了包含大量机密客户信息的EXCEL文件。
·2011年7月:某保险企业泄漏了700多条个人姓名和社保账号信息等客户机密信息。
·2011年4月:某信用卡加工公司,在重大的数据泄露事件中泄露了众多邮件地址。
进一步的研究还表明,在处理敏感信息泄漏的过程中,事件监测、事件通报、事件响应、长远业务损失等每个环节都会带来额外的成本和其他负面影响。
DLP工具可以部署在企业的存储、网络和终端设备上,例如:
·存储。DLP工具的一个基本功能是能够找出特定的文件,例如电子表格和文字处理文档,不论它们保存在文件服务器上、区域网络上,或是在终端上。一旦找到之后,DLP工具还会对文件内容进行扫描来确定是否存在敏感信息。
·网络。使用特定的网络技术对网络流量进行捕捉和分析,并能够检查传输中的数据。如果发现敏感信息的流向未经授权,DLP工具可以根据预先定义的规则发出警告并阻挡数据流。
·终端。一般通过运行客户端Proxy软件来实现对本终端操作的管控。终端管理主要旨在管理用户在工作站上进行的数据移动操作,例如拷贝数据到U盘、发送信息到打印机、在应用程序间剪切和粘贴等。
但是,随着企业信息安全建设的深入,企业往往会发现,仅通过部署DLP工具并不能很好满足管理层对敏感信息保护的期望。主要面对的挑战和原因如表2所示。
因此,我们认为要建设持续有效的企业敏感信息保护体系,必须从整体的角度出发,不仅需要关注技术,更要关注治理、人员组织和流程,建立自上而下的保护体系。
四、企业敏感信息保护体系
企业敏感信息保护体系应该与企业信息安全保护体系紧密结合,在治理、人员、流程和信息技术各个层面综合考虑。
(一) 治理
敏感信息安全战略应当与企业信息安全规划紧密结合,并考虑企业战略、IT规划、风险管理和合规要求等,并在制订和推行过程中争取企业高层的充分支持和参与。企业应当认识到,加强敏感信息保护和信息安全的工作并不是一次性地对信息技术做出投入,而是一个建立并持续改进的过程。总体而言,企业敏感信息规划中应当包括下列专题:
(1) 信息安全和敏感信息保护策略;
(2) 信息安全治理的组织架构;
(3) 安全与系统开发和采购的结合;
(4) 信息分类的级别定义;
(5) 风险管理战略;
(6) 应急计划和事故处理;
(7) 信息安全意识和培训;
(8) 法律和规章责任;
(9) 外包管理。
(二) 人员
信息安全不仅仅和IT人员有关,而是和各业务条线、各层级管理人员都有关系。建立适当的信息安全组织对企业范围内的敏感信息进行保护,并对职责进行合理分配和划分。具体来说,企业中需要下列信息安全角色:
(1) 信息安全协调小组,负责协调跨部门/业务单元的信息安全问题;
(2) 高层信息安全官员,负责处理企业内与信息安全相关的事务,并与管理层持续沟通。
信息安全协调小组和高层信息安全官员应具有明确规定的职责和足够的经验。企业应为高层信息安全官员提供明确的沟通路径、角色和充分的授权,并由信息安全协调小组审批。
此外,企业还应当考虑为关键项目和应用系统指派信息安全专员,并向高层信息安全官员负责。这些专员的职责包括制订和实施专门的安全计划,对信息安全防护措施的实施和使用进行日常监督,以及协助调查信息安全事故等。
(三) 流程
为了有效地保护敏感信息,可结合企业的信息安全管控现状,有针对性地制订一系列管理制度和标准,包括:
·信息安全流程制度,包括信息安全方针、信息安全组织、资产管理、人力资源安全、物理和环境安全、通信和操作管理、访问控制、信息系统获取、开发和维护、信息安全事件管理、业务连续性管理、符合性等方面。
·敏感信息安全管理流程,包括通信传输管理、存储管理、移动介质管理、归档管理、超级用户管理、第三方信息交换管理、日常操作管理等方面。
·信息分类分级管理流程和制度,包括数据资产密级划分、数据资产分类管理等方面。
·信息安全内部审计管理,包括信息安全内部审计框架、信息安全管控有效性衡量指标等方面。
建设企业敏感信息保护框架,不仅需要关注技术,更要关注支持和配合系统的人员组织和流程。
(四) 信息技术
针对承载敏感信息的信息技术环境所存在的弱点和威胁,提出相应的技术风险处置建议。根据企业的风险接受程度和优先级,技术措施可以包括下列内容:
1.改进现有系统的信息安全控制
通过配置改进等系统优化方法,增强网络设备、服务器、软件、终端、存储等薄弱控制环节。相对而言,这类针对单一控制点的改进措施的投入成本较低,可在短期内改进完毕。
2. DLP产品
根据企业自身需求和数据保护的技术措施建议,选择实施主流的DLP产品,从终端、网络和存储方面,对特定的高风险领域实施技术管控措施。
3.身份管理和访问管理
通过单点登录,联合身份认证等技术,IAM可以帮助统一不同应用系统间的用户身份,有效施行访问控制矩阵和职责冲突检查,为更自动化和智能化的敏感信息保护体系做好准备。
4.安全事件响应和事故管理
SIEM产品通过连接企业的不同系统并对海量信息安全日志进行实时分析和监控,自动化和智能化地识别出需要及时响应的安全事件,保证高优先级的安全事件能够得到及时响应和处理。
五、德勤的敏感信息保护方法论
德勤的敏感信息保护方法论已经协助不同行业和规模的企业建立了行之有效的保护体系。总体来看,我们的方法是首先协助企业建立企业敏感信息保护的管理体系,再根据企业自身需求提供恰当的技术实施方案。
在体系建设中,德勤协助企业规划和建立以敏感信息保护为重点,兼顾企业信息安全管理需求的信息安全管理体系。体系建设的主要工作有:信息安全成熟度和差异分析、敏感信息分析、风险评估及风险处置、敏感信息保护建设规划。在安全产品的技术实施方面,德勤为企业进一步提供产品选型、质量保证或产品实施服务。
需要指出的是,我们的整体方法可以基于企业需求和保护目标来定制。
(一) 敏感信息保护体系建设
不难看出,体系建设是企业敏感信息保护体系的核心工作,也是实施产品的前提。以下将展开介绍这部分工作,并以敏感信息分析和风险评估为例介绍分析方法。
在体系建设中,我们的工作将分为以下几个步骤:(1) 从客户自身需求和法律法规、行业监管要求、合同协议等方面切入,以德勤信息安全管理框架为基础,经过信息安全成熟度分析和差异分析,了解企业的信息安全现状;
(2) 调研敏感信息的分布情况、存在形式、业务类型及业务影响;
(3) 进行数据分析,识别数据经过的组织和人员以及承载数据的各类信息载体等要素,进行风险评估,并制订相应的风险处置计划;
(4) 最终根据所指定的风险处置计划,自上而下地建立以敏感信息保护为重点的信息安全管理体系。
(二) 人员参与
在敏感信息保护体系建设的过程中,适时和充分的人员参与至关重要。企业或组织应该建立信息安全委员会指导该项目的活动,并在授权范围内充分调配企业的各项资源给予支持。
在制订正确的保护策略、识别业务数据生命周期、明确数据责任人、进行风险评估等工作中,都需要管理层和不同业务条线的参与和判断。从我们的经验来看,下列人员应该参与:法务、隐私、公司安全、信息安全人员。
· IT工程和运营人员。
·人力资源管理和员工代表。
·关键业务代表。
·高级管理层。