如果信息技术无处不在,谁来负责安全风险?读过本文,即便最棘手的风险问题也将迎刃而解。
今年2月,盗贼持枪抢劫了美国英提格瑞斯卫生署(Integris)一家家庭医疗服务商的笔记本电脑。英提格瑞斯卫生署的首席信息官(CIO)约翰·迪兰诺(John Delano)面临两项首要任务:确保员工安全和保护笔记本电脑上的病人信息。幸运的是,员工安然无恙,加密过的病人信息也丝毫无损。到目前为止,该公司的移动技术风险战略发挥了重要作用。
近来,人们对笔记本电脑、智能手机、便携媒体等移动技术的使用大大增加,同时也使商业信息面临新的风险。根据安全咨询机构波耐蒙研究所(Ponemon Institute)在2006年发布的一份报告,超过54%的安全侵害行为是由于笔记本电脑、移动设备或电子备份数据丢失引起的。目前美国几个州政府已经制订了有关数据泄漏的法律条文--从另一个方面来看,这也促使CIO们对客户信息保护工作予以高度重视。
尽管使用移动设备存在风险,但由于他们能够提高工作效率,同时也因为基础设施更加完善,移动设备用户正在迅速增加。一份2006年的费雷斯特(Forrester)报告显示,几乎三分之二的美国公司正在使用无线网络,而移动通话和数据传输的费用在去年的通信预算中占到近四分之一。
危机四伏
移动技术、特别是那些被首席执行官(CEO)、公司高管、销售和顾问使用的移动技术,往往涉及销售额和电子邮件等极为敏感的公司资料。而最新的移动设备具有更大的储存容量和更强的互联网访问功能。
存储量增大的后果是更多数据处于被盗、丢失或使用不当的风险之下,CIO们为此深感担忧。同样让他们担心的是,多数商业用户不会在非安全的环境中采取适当的安全措施。例如,2003年发生了一次令人担忧的事件:一台从eBay购得的黑莓无线设备被发现存储着1,000多人的姓名、电子邮件地址和电话号码,以及200多封公司内部邮件。出售这台设备的人想当然地认为,卸下电池以后数据就会被全部删除了,结果却出乎他的意料。
同时,更多人对移动环境发起攻击。去年,反病毒厂商发现了200多种手机病毒。间谍软件、网络钓鱼软件、域名欺骗软件、恶意软件、零时差浏览器攻击、以及僵尸网络等攻击软件正在迅速蔓延。据Trend Micro公司的调查显示,仅仅针对Windows智能手机设备,就已经发现了约30种恶意软件。微软估计有将近一千两百万人在使用智能手机。
美国《加州参议院1386号法案》和《1996年健康保险流通和责任法案》等隐私条例针对非公开的个人信息制定了披露标准和保护标准。法律规定,对那些获取并存储个人信息的公司来说,如果发现某个公司对个人身份信息处理不当,该公司必须向公众说明情况,这无疑是更大的挑战。
以医疗领域为例,病人的个人信息存储在医生和护士的多种移动设备上。今天,远程诊断中心可以向医生的智能手机发送病人的心电图。正因为移动设备已经变得不可缺少,《1996年健康保险流通和责任法案》将保护病人信息作为绝对强制性的要求。根据联邦法律,对医疗信息使用不当将牵涉到一定程度的刑事和民事责任,有可能遭到25万美元的罚款和长达10年的监禁。
在这一背景下,因为遭受数据侵害而丢失个人信息已经成为超越IT部门的商业问题。负面的公众形象是昂贵而难堪的,这将使消费者和投资者失去信心。
制订战略
为了与这些风险进行有成效的斗争,我们推荐制订一个全公司范围的移动技术风险战略,以指导公司进行问题评估,制订与潜在商业影响相符的预算,并将任何技术上、步骤上和组织结构上的解决方案作为头等大事来抓,从而降低风险。在制订这一方案的过程中,CIO必须动员公司全体部门,调动市场部、法律部和客户关系部,还要与首席信息安全官(CISO)和其他风险经理们通力合作。在制订移动技术风险战略时,应先按照以下步骤确定公司的安全需求:
* 在全公司范围盘点移动技术。对大公司的库存进行评估是件非常困难的事情,因此可以选取有代表性的员工组合作为样本,并在移动主机上安装多种工具。
可以考虑从以下问题入手:"公司里哪些人在使用移动技术,目的是什么?他们使用着哪些类型的移动技术?使用频率和地点如何?"
然后检查存储的数据性质和安全措施。哪些类型的信息在该设备和公司系统之间传输?该设备得到哪些认证机制的保护?存储了哪些信息?有多少数据被加密?
最后,考虑当前和未来的技术需求。什么类型的技术有可能被使用?同步或备份移动设备时使用的什么软件?替换或处理旧设备的现有办法是什么?
* 对数据侵害的影响进行评估,确定风险管理的预算。CIO需要评估数据侵害的威胁并理解其对公司业务的影响,必须让所有业务部门的高级管理人员了解分析结果。
一家《财富》100强公司的首席安全官通过监测100天时间段内受到多少次攻击来解决这个问题。关于数据丢失带来的成本,他的IT团队在几周后给出了一个实际的估计值--这一数字帮助这位首席安全官说服了其他高级主管。这个估计值不但促使这家公司对移动安全战略进行全面调整,还将丢失数据带来的成本、安全运营的附加成本及安全侵害对公司品牌和信誉造成的影响一一量化。
波耐蒙研究所于2006年8月发布的一份报告显示,数据侵害造成的直接增量成本可以被量化:即平均每条丢失记录的损失为54美元。如果数据侵害是小规模的,这一成本甚至更高,因为法律、通信和人力成本的分摊费用增大了。
高级管理层需要认识到成本之外的其它后果。数据侵害还可能导致集体诉讼、市场价值受损、业务关系中断、甚至公司破产。如果上升到法律的高度,侵入事件还可能导致罚款和处罚--公司管理层甚至可能因为在保护客户个人信息方面犯有失职罪而面临牢狱之灾。
执行战略
根据公司的具体需求勾勒出战略轮廓后,下一个问题是确定实施办法。在为移动技术风险战略制订路线图时,请考虑以下几个方面的内容。
标准化是管理移动设备的办法之一,但如果公司拥有大量不同的移动设备和多种操作系统,标准化就比较困难了。针对这个问题,可以通过制订一套标准程序来有效管理移动设备的采购、分配、替换、更新,以及管理丢失和锁定的设备,并加强IT帮助中心的能力,集中管理各种设备。
移动平台管理解决方案会提供一个集中控制面板,让全部移动设备的安全设置保持一致。
定期审查和汇报也非常重要。最基本的一点,公司需要随时掌握各台设备是否遵守规定。CIO们还应了解每台移动设备上存储的商业信息类型。
移动数据安全战略的执行措施包括:确定策略,保护移动设备上的数据,对设备和用户进行认证,监控策略执行情况并撰写报告。
为了预防移动设备丢失或被盗,执行方案通常提供数据加密的功能。公司应确保即使丢失密匙也能够恢复数据。一个强大的管理方案应能集中管理和代管密匙。
大多数新推出的移动设备具有内置的加密功能,例如某些安全USB驱动,现在已经在市场上有售。最新的笔记本上安装了可靠的平台模块计算芯片,使硬盘加密成为可能。Vista操作系统的BitLocker功能与此类似,可以让用户对硬盘加密。
