摘要:最近的两大新闻报告已然证实,您企业最大的安全威胁是来自于您企业的工作人员,而并不是来自外部黑客的攻击。
一系列关于云存储的研究报告重申了关于数据存储领域的一个持久的和但其实却是显而易见的事实:您的企业的最大的安全威胁并不是来自于外部的黑客攻击,反而恰恰可能是来自于您企业自己的工作人员。
第一项调研来自Ipswitch File Transfer,这是一家安全文件传输和数据监控软件制造商。他们调研了在全球范围内的555名的IT专业人员,询问这些IT专业人员的文件共享的习惯,结果发现,76%的IT专业人士表示认为能够安全地传输文件是相当重要的,而有61%的受访者则使用了不安全的文件共享云服务。
该项研究还发现,32%的IT专业人员在其所供职并没有一套完备的文件传输策略,25%的受访者表示他们计划将建立一套,另有25%的受访者表示,他们所在的企业有一套严格的文件传输策略,但具体执行情况却并不一致。
21%的受访者报告称,他们所在的企业在过去可能遭遇过数据泄露事件,但他们并不完全确定;而38%的受访者则表示说,他们所在企业的相关安全识别流程和减轻风险的措施是低效的。
另一项调研是由文档管理、记录管理和数字影像公司Crown Records Management公司及Censuswide公司,他们的调研报告发布于今年2月8日的清理电脑日当天,该项调查发现,在超过雇佣了200名工作人员的企业中,有55%的IT决策者并没有制定相应的电子邮件数据保留管理政策,58%的受访者并未定期审核他们的纸质数据材料,60%的受访者没有定期对其所在企业存储在云或企业内部的文件进行评审,64%的企业并未对存储到云服务的相关数据进入过滤。
在所有接受调研的受访者中,有76%的人表示他们所在的企业并没有一套系统来帮助他们区分哪些数据必须被保留,而哪些数据则不必要被保留。
“这一问题的严重性在于,其已经存在了很长的一段时间了,而云存储仅仅只是出现该问题的一个最新的领域。企业在其日常运营过程中,往往并没有花时间来发现相关存在的问题,并确定数据存储过程中必须要坚持的相关管理政策。”Hurwitz &Associates公司的副总裁兼首席分析师Jean Bozman表示说。
她说:“我们现在生活在当下,所以我们正努力做到最好。”但是,当了解到灾难恢复和高可用性的现状时,企业组织采取适当的暂停措施是非常重要的,不管是周末休息期间,或者只是您自己拥有的文档。”她补充说。
Ipswitch公司的高级产品营销经理Paul Castiglione表示说,有很多的云文件共享服务都增加了安全功能以应对不良行为,而这也是越来越有必要的。
“如果我们每个人都是完美的,就不会有错误。但统计数据也显示,在企业组织发生数据丢失的事故中,其中有三分之一的事件是由于人为操作错误所引发的,而三分之一是由于进程和网络错误;另有三分之一才是源于恶意的攻击活动。所以,有三分之二的数据丢失其实是企业组织可以在自己的网络环境下控制的。当然,我们必须要训练我们的员工,以便尽量让他们不犯愚蠢的错误,同时也要确保为他们提供相应的技术,以便让他们不犯错误。” Castiglione说。
他补充说,虽然针对员工操作行为的合规性培训是一个重要的方面,但相关的流程自动化也应该到位,以便他们在涉及到文档传输,以及企业内部与云服务之间的交换操作时,不会出现任何错误。他曾经遇到很多企业客户根本不允许执行手动文件传输。
“这听上去可能是相当令人震惊的,但这是为了确保数据传输移动的安全,这通常是支持某种形式的一个既定的业务流程。”他说。如果我将其自动化,减少了人为错误,提高了处理效率,也帮助员工提高了工作效率,从而禁止文件被发送到诸如俄罗斯的某个错误的FTP服务器。” Castiglione表示说。
失败的政策和关注
云存储提供商StoAmigo公司的产品开发副总裁理查德·斯泰尔斯表示说,供应商错误的让律师决定了相关的政策。“在大多数情况下,最终的供应商服务合同的签署往往是由律师所撰写的,而在合同中必然涉及到相关对于供应商或云供应商及企业客户的保护政策的相关规定,而正是因为这些政策是为了保护供应商的。他们列出了服务供应商们将不负责停机时间、不负责数据丢失等等状况。”他说。
他还说,大多数云存储公司时采取的方式存储。“假设企业用户上传了一些数据文档到云存储。那么为该企业用户提供存储服务的供应商并不在意我把什么样的数据上传到了服务器,他们关心的是我消耗了多少存储空间。而没有对于相关上传或下载文档质量检查的监控,也并不能保证发送方和接收方之间出现状况。”他说。
这尤其适用于清理您的旧数据存储。不要指望您的供应商会为您这么做,您企业也不应该想要的。“我无法想象一家企业客户会允许第三方仔细翻阅他们存储在云中的数字内容。任何有数据内容在云存储企业组织或个人都会对他们的隐私内容有足够的预期。”斯泰尔斯表示。
云存储提供商不参与数据管理,所以一旦数据被传输到数据库,即被存储。主机不循环的管理数据,因为坦率地说,数据管理不属于他们的业务。所以存储管理,包括重复数据删除和清除旧数据,是您企业用户自己的责任而不是您的服务提供商的责任。
“这一切都始于企业组织自身。”斯蒂尔斯说。企业用户必须确定数据的价值。对于一些企业组织来说,数据并不重要,而对于其他某些企业组织来说,这是他们的生存命脉。使用Facebook的一般用户并不关心他们的数字内容。但如果您是一名律师或是摄影师,管理您的数据化内容就是您的生存命脉。所以这一切都取决于客户自身。”
自动化是解决答案吗?
Castiglione主张通过采用自动化,以减少人为操作错误。并表示说,必须有特定的特征和功能。对于刚刚你开始部署自动化的企业用户来说,任何自动化服务或软件都应该确保他们对文件级别有可见性,而不仅仅是停留在文件夹级别,而且能够让企业明确知道谁有权限访问到何种的文件级别。此外,确保有相应的访问控制,以确保企业用户的供应商能够提供适当的访问控制。
他说,云存储供应商有很多亟待改进的空间。“大多数的文件共享供应商都仅仅只是提供简单的方便消费者使用的协作工具,而不是一个很好的保护文件和方便访问的地方。所以这是一个完全不同的心态。” Castiglione说。
企业用户务必要仔细阅读您的合同。“我的建议是,认真研究您与您企业服务供应商的合同条款和条件。看看他们会对哪些情况负责,而您企业自身有需要对于数据负担哪些责任。同时,合同还能告诉您您企业有什么样的资源。”他说。
“一些云存储公司在教育他们的客户应该做些什么,以及怎么做方面做得相当好。而其他一些云存储服务供应商则没有做到那么多的工作。企业用户会看到有很多的关于免费存储的服务,但您总得要支付相应的代价。因为这些免费的服务可能在后端没有很多的支持。”斯蒂尔斯补充道。
Bozman说,让时间来慢慢检验您的服务供应商的服务吧。“安排一些时间来进行检验,或者如果您企业自身实在抽不出人手,雇佣一些额外的人手协助这样的工作。如果所有的服务都是支持生产流程的,其很难停下来专门查看。在今天,企业用户的设备都是尽量保持精简化运行,但人为操作设备的比例在今天的企业所占的比重仍然非常高。”她说。
本文转自d1net(转载)