数据失窃：企业数据安全之道

去年多个著名网站发生了多起引人关注的黑客入侵事件，不仅让全球的IT经理们愁眉不展，还让首席财务官(CFO)们一边擦着额头上的冷汗，一边暗暗祈祷“上帝保佑，别让我们也摊上这档子事”。

索尼(Sony)是遭到黑客组织LulzSec攻击的受害者中最著名的一个。在侵入索尼旗下多个网站之后，LulzSec窃取了超过100万名用户的密码，令索尼品牌形象遭受重创。

令信息失窃用户更难接受的是，事后发现此次被盗的用户密码甚至没有加密，而是直接以纯文本形式储存。

在那之前，博客网站Gawker也遭受了一次类似的攻击，一个自称为Gnosis的黑客组织盗取了该网站130万名用户的账户详细信息并公开发布到网上。

此后，正当新闻国际(News International)的电话窃听丑闻闹得沸沸扬扬之际，黑客组LulzSec对该公司进行了攻击，将访问太阳报(Sun)网站的用户链接重置到了一个黑客页面，并声称已盗获了这家小报工作人员发出的电子邮件。

互联网安全公司Sophos首席技术官(CTO)格哈德•艾切尔贝克(Gerhard Eschelbeck)表示，只要一想到此类安全事故CFO们就应夜不能寐。

咨询公司凯捷(Capgemini)主数据管理(Master Data Management)业务主管史蒂夫•琼斯(Steve Jones)对此表示认同：“首席财务官们应当时刻保持清醒，关注自己在整个公司业务层面肩负的责任。”

艾切尔贝克建议称：“一开始就制定好相关的规章制度有助于使相关人员分清主次、明确各自的角色和职责。”他表示，“首席考虑制度层面，然后再考虑执行层面。”

维护数据安全的关键不在于公司的IT部门怎么做，而在于董事会制定怎样的规章制度。一旦发生安全事故，不但需要花费金钱去进行处理，还可能对品牌形象和公司声誉造成巨大损害。

例如，公司高级管理层应当决定在公司日常运营中是否采用日益流行的个人自带设备(简称BYOD)政策。

越来越多的公司允许员工在工作中使用自己的智能手机、平板电脑甚至个人电脑，因为此举有助于将公司运营成本控制在较低水平。但艾切尔贝克表示，这可能导致重大安全事故。

“如何管理员工在工作中使用的个人设备？应执行怎样的规章制度以确保这些设备得到恰当的安全保护？”艾切尔贝克强调，公司的管理团队应决定采取何种安保制度，并由IT部门将其付诸实施。领导团队的软弱可能导致IT部门选择符合自身偏好、但对公司业务而言未必最佳的解决方案。

高管级别的管理人员应当关注的问题包括合规以及应给旧数据储存投入多少成本以应对监管当局可能提出的数据需求等等。在这些领域，IT部门优先考虑的问题将与CFO的不尽相同。IT部门倾向于采用尽可能好的设备，而CFO则希望采用成本最低但效果最佳的解决方案。

艾切尔贝克表示，问题的关键在于效率与成本，而不是努力追求某种神秘的“金牌标准”。他说：“公司机构能够达到铜牌或者银牌标准我就已经很开心了，不是每个领域都需要达到金牌标准。”

他补充道：“应从风险管理角度来看待数据安全问题，海量信息在哪里储存？公司落实到位了哪些安全制度？”

例如，IT基础设施中与互联网连接部分的数据安全应达到金牌标准，而其他一些数据，比如一家餐厅的过期菜单则无需“防弹”保护。

琼斯表示，另一个值得CFO们关注的领域是有关数据安全可能产生的更大问题。他说：“绝大多数人都会关注防火墙等IT系统，以及如何防止用户信息从服务器中流出。”

他表示：“有关数据保密的更大问题是那些CFO们仅仅一知半解的严峻挑战。”

琼斯表示，欧洲在数据保密领域的新规则意味着企业有必要花费更多精力用于跟踪跨多个数据库的个人用户，这对于数据安保有一定影响。

他表示：“如果你在多个系统中都存有用户信息，这些信息就有可能在多处失窃。这种情况无论如何都应引起CFO的注意。”

通过唯一的用户ID聚拢来自多个数据库的不同信息碎片以确认用户身份等技术有助于企业满欧盟的监管合规要求并提高自身安全性。

琼斯表示：“唯一的用户ID被盗不会造成严重后果。单凭用户ID黑客什么都做不了。”因此，最强大的安全保护应当围绕数据本身，而不是围绕能将所有数据归入唯一用户档案的数据标识。

达到数据安全最高标准的关键并不在于学会使用极客语言流利地与公司的IT部门沟通。

理解满足合规要求以及制定数据安全制度的必要性等公司运营问题带来的挑战，并确保相关规章制度得到认真执行，才是确保数据安全之道。