首页 > 信息安全 > 正文

保护企业数据的几个步骤

2013-10-14 11:01:42  来源:51CTO

摘要:公司需要落实一套流程,将解雇通知告知所有的应用程序拥有者。DiVito提醒,取消配置的资源可能会很棘手,如果访问管理和相关的控制机制分散于中央IT部门和数据拥有者之间,尤为棘手。
关键词: 企业数据 IT 信息

    调查表明,许多公司因心怀不满的前任员工大搞破坏而蒙受巨额损失。


    离开公司的员工绝大部分是诚实正直、遵纪守法的企业公民。但是你永远不知道何时某个员工可能因与公司交恶而走人,随后回过头来企图闯入贵企业的系统。


    在如今,由于企业数据可能驻留在众多地方:从云环境到员工带到办公场所的智能手机,保护公司资产、以免被前任员工破坏来得更加困难。


    本文介绍保护企业数据、以免被前任员工破坏的几个步骤。


    取消为所有设备配置的资源


    据普华永道会计师事务所风险保证业务部的Joe DiVITo声称,取消配置的资源应该是保护数据方面采取的第一步。


    DiVITo说:“对许多企业来说,取消配置的资源并非易事。它们在网络层面可能做得很好,但是应用程序层面可能门户大开。针对应用程序层访问的管理往往是分散的,归属应用程序拥有者或业务部门。”


    他补充说,公司需要落实一套流程,将解雇通知告知所有的应用程序拥有者。DiVITo提醒,取消配置的资源可能会很棘手,如果访问管理和相关的控制机制分散于中央IT部门和数据拥有者之间,尤为棘手。


    他说:“设计和运作用户资源配置控制机制存在一定的控制风险。企业要正确核计赋予员工的访问权限。要确定谁拥有授权和日常访问该数据的权限,并确保需要修改或撤销访问权限时,各有关方均通知到位。要管理这种风险,解决办法往往不需要复杂的手段,只需要加强沟通就行。”


    在Steelcase这家办公家具公司,一款自定义的微软。NET工具处理取消配置的资源这项任务。而IT部门与人力资源部门紧密协调。


    据Steelcase公司CIO Bob Krestakos声称:“。NET工具使用尽可能多的标准API(应用编程接口)来联系各个系统,禁用或删除用户帐户。比如说,可以通过该应用软件,暂停或删除电子邮件帐户,取消访问我们活动目录的权限,以及删除访问SharePoint的权限。同样以这种方式管理访问内部社交媒体和产品开发系统的权限。”他补充说,除了消除产品开发部门的PTC产品资料库外,这款。NET工具还消除了SAP系统的ID。


    他补充说,此外,该应用软件可以自动将电子邮件通知发送给用户帐户的管理员,创建审计跟踪记录。


    Krestakos说:“。NET工具让管理员在大型IT环境下很容易关闭访问所有系统的权限。它让为好几个步骤实现了自动化。”他补充说,整个过程由人力资源部门操控。


    Krestakos说:“有人离职或辞职时,特别是如果他们身处像企业战略或产品开发这样的数据敏感部门,我们可能会在他们离开之前就启动取消配置的资源这个过程。在其他情况下,我们让所在部门的经理知道情况,我们保留帐户,直到经理说可以关闭这些帐户。”


    使用自动化工具


    IDC公司的分析师Sally Hudson说:“员工不管出于什么原因离开公司后,这一信息应该立即自动由人力资源部门转告IT部门,取消该员工访问企业内部所有帐户的权限。目前这方面有许多成熟的用户资源配置软件。”


    分析师们表示,此外,众多现成的应用软件有助于确保员工、尤其是高层员工离职后,无法访问企业系统。这些软件包括IBM、甲骨文、Quest软件公司(现隶属戴尔)和冠群的软件,还包括Cyber-Ark和Xceedium等专业开发商的软件,它们提供的特权身份管理(PIM)解决方案广泛应用于《财富》2000强企业。


    Hudson说:“现在还有制约与平衡手段:特权身份管理软件可以确保被授予很大权限的前任员工(包括企业高管和系统管理员)无法利用之前很高的访问权限和帐户特权级别,在公司里面大搞破坏或胡作非为。”


    一些人建议采取全面的方法来取消配置的资源。据Frost and Sullivan公司的分析师Michael Suby声称,要是不走全面的方法这条路,身份和访问管理流程可能毫无成效。


    他说:“数据的位置变得非常分散,很难保持监管。你还需要对数据进行分段,这项工作是数据治理的一个环节。要是我所在企业有大量的员工信息,比如电话号码、工资和人事记录,我就要确保,这些信息单独存储在另一个系统中。而商业计划和企业并购等信息封锁起来,一般人访问不到。针对这些信息的访问需要加以管理。如果你事后再进行管理,就好比让谷仓大门敞开着。”


[page]    IDC公司的Hudson补充说:“对所有大型企业而言,自动化证明流程应该是看管的一个基本方面,所有业务部门负责人证明谁按照企业内部被分配的角色,可以访问什么数据。过去这通过电子表格来手动完成,而现在有了自动化并更新这些输入的软件,一旦检测到异常情况,就会自动发出警报。”


    思科的IT部门也让取消配置资源过程的大部分环节实现了自动化。思科IT移动服务高级经理Brett Belding表示,一旦员工告知人力资源部门要走人,而且一经人力资源部门确认,公司就会采取一系列措施,防止员工访问企业数据


    他说:“通知人力资源部门后,会针对员工的数据访问权采取一系列措施。决定离开的员工要交出企业笔记本电脑,也无法访问AnyConnectVPN、我们的企业资源规划(ERP)、人力资源系统以及之前可以访问的其他每个系统。在不同的国家,时间长短不一,但通常是在离职前的最后一星期。比如说,我们提前关闭访问VPN的权限。”


    弗雷斯特研究公司的分析师AndrasCser补充道:“应用程序拥有者与人力资源部门一定要有融洽的关系。IT部门也要与监管部门一起确保符合法规,无论是金融领域的《金融服务现代化法案》(GLBA)、医疗保健领域的《健康保险可携性及责任性法案》(HIPAA),还是《萨班斯-奥克斯利法案》;后一项法案规定,作为一条最佳实践,员工信息须由管理员保持30天内可以访问,以防需要审计。”


    擦除/清除设备的数据


    在自带设备(BYOD)蔚然成风的环境下,离职员工的设备一般由IT部门清除设备上的数据,或者自行处理这项任务。但是在清除数据之前,IT人员必须知道设备上有什么数据。


    普华永道的DiVITo说:“企业需要确定实体资产上有什么数据,比如手机上的ID。但即便一些企业在这方面作了仔细检查,还是很难知道什么数据应该擦除。受到监管部门监督的公司在这方面做得比较好。生产型企业就不是那么到位。”


    Steelcase公司要求自带设备的员工签署一项协议,表明他们离开公司后,会清除设备上的数据。CIOKrestakos表示,公司在北美有3000个移动用户,其中一半使用BYOD计划,这一招已见成效。


    “员工必须同意通过书面协议同意某些规定。我们没有实施确保他们没有保存企业数据的任何规定,也没有对此进行监控的解决方案,就只有员工签署的协议。协议要求员工使用密码保护手机,维护某种应用程序,让他们得以远程访问及擦除内容。”


    正如在思科,人力资源部门也参与其中。他补充说:“员工离开公司后,他们要接受人力资源部门的离职面试,需要匆匆看一遍核对列表。人力资源部门收回发给某个员工的所有技术设备,提醒对方不得将企业数据留在任何个人设备上。”


    留意云端


    员工离职后,仍可以访问云端会带来棘手的问题,因为云是不受控制的渠道。Frost and Sullivan的Suby表示,在员工走人之前将政策落实到位可缓解整个过程。


    “企业一定要有政策和程序,表明什么是经过许可的网站;如果网站未经许可,你就要加以阻止。你要确定如何阻止数据转移到你一无所知的地方,比如Dropbox或另一家云服务提供商。”


    在思科,内部和外部云服务与其一系列移动应用程序联系在一起。Belding表示,为了对付员工对云端数据做手脚,IT管理人员采取的办法是,只发送应用程序的图像,而不是实际数据。


    他说:“我们的一系列移动应用程序中许多与云服务联系在一起,无论是内部云服务还是外部云服务。如果你想查看财务数据,下载的不是实际数据,而仅仅是图像。我们称之为比特与像素。针对云数据和移动数据,你只可以下载像素。那样一来,设备上的数据越来越少。如果你在浏览器中编辑一个电子表格,那都是像素格式;当我关闭服务后,你就再也无法访问。”


    Steelcase对可以上传到公司所用的Google Drive云的数据的类型进行了限制。企业战略和产品开发数据属于最重要的数据类型之一,这些数据不得存储在Google Drive上。


    Krestakos说:“公司告诫员工,他们在从事项目的敏感方面,需要采取防范措施,以保护信息。”


第三十八届CIO班招生
国际CIO认证培训
首席数据官(CDO)认证培训
责编:fanwei

免责声明:本网站(http://www.ciotimes.com/)内容主要来自原创、合作媒体供稿和第三方投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。
本网站刊载的所有内容(包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等)版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时,请及时通知本站,予以删除。