分类: 服务器与存储
2008-06-24 15:45:51
Rena Mears:我们做了一项调查,调查发现几乎每家公司都说他们确实进行了数据分类。当我们真正与这些公司交谈时,发现这通常意味着他们有了一个好的数据分类文件,其中某些文件还定义了一些好的类别;某些文件的分类在二到四之间。经常发生的情况是文件和其他策略都束之高阁。不清楚哪些人读取过。也不清楚该策略是否容易实施,更重要的是有一点显而易见:一些技术已经实施过,但不能高效地处理数据分类。
我们看到对据分类越来越像分割网络。网络结构分割通常是在宁愿称之为总体层面而不是数据层面上进行的,数据层是网络的分割结构。网络的不同段充满了访问、防火墙保护或者更大的外围保护,由于数据要求更多的保护,因此这些保护措施相当有效。你所提的问题,需要问一下自己,特殊网络段实际分割和保护情况时什么样的,你多久才能发现那段网络中存在漏洞或攻击路径?
Mears:PCI以及整个PCI要求导致这个领域的花费在很长一段时间内比我们看到的更多。公司现在正认真处理这一问题。PCI的很多领域要求公司决策….他们正在进行分割。有些公司正在努力满足达到PCI框架,对这些公司而言,它们是否有时间返回去查看现在的网络分割是否真正完善,这种分割在各网络层是否真的行之有效?我认为这对它们是一种挑战。我认为PCI在某些方面的确对数据分类的可操作化有积极的影响。
Mears:你所说的都有。在我们做的公司风险调查中,我们发现,所有技术实施的管理方式都是一些到现在为止很少使用的数字权限管理技术。关于数字权限管理,技术界持爱恨兼有的态度。现在有这样一个争论:对某些产品和服务而言,数字权限管理技术是否应该保持原样,或者加以完善?我认为还存在很多挑战。一个挑战就是人。进入 公司,每个人都有如何处理数据的想法,但是没有一个人会举起手说自己拥有这些数据。因为当你告诉他们,这就说意味着对数据的任何情况都负责时,取起来的手马上会放下。数据管理工作和责任制的观念促成了这一问题。
Mears:特别是IT花费方面,我认为我们已经在逆着经济压力前行了。低迷时期以及利润下降的任何时期,显而易见,首先想到的就是削减开支。但是,我也在考虑开发一些驱动程序,它们真正擅长处理技术解决方案和安全保密问题。我们正日益全球化,并且日益数字化,因此,我认为我们面对的是一种认证技术,IT、安全、保密和所有技术都是促使商业活动的技术继续发展所必需的。
Mears:事实上,数据是一种资产,但大多数人并没有认识到这一点。只要你不将网络与这种事实联系起来,就不会相当困难。公司在处理数据时,就好像数据是免费的一样,而实际上不是这样的。当我们谈及数据分类、数据保护和数据管理时,假如我把数据当成真实的财产,我就会说我有回报率,并期望投资回报率高于对该资产的投资。如果该资产没有任何回报,或者回报是负的,那么该资产就仅仅代表着诉讼风险、违约风险或法规风险,但作为间接收入驱动,它不会给我带来收入,也不能供养我的员工,那么我有什么理由使用它?因此,获得并显示投资回报的一种方法是采用数据方案,它能够显示出你已经在集中精力有效地保护你的资产。第一条建议就是经常删除许多不能给你带来回报的所有物。
Mears:答案是,现在还没有人在制定标准,或者说至少几乎没有任何人。没有人聚集起来制定一个好的标准,如果你会或者准备制定这样一个标准,请解释一下存在什么风险。由于安全工作人员突然与董事们面谈,我们通过萨班斯?奥克斯利法案(Sarbanes-Oxley)已经看了一点上升趋势。在金融业,存在的风险主要是那些提供这条信息的员工。金融业以外,我们开始关注那些开始接受这一理念的其它行业。这些行业收集各类风险,将公司风险提到日程上来,并把其定位c级别的风险。所有这些事务都需要策略。受雇于此、制定策略的人都是以C开头的主管(c-suite),并且需要具备综合的信息。