科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道安全管理Imperva史特利·奈杜:公司依然缺乏到位的数据访问管理措施

Imperva史特利·奈杜:公司依然缺乏到位的数据访问管理措施

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

尽管公司已经表现出更加重视内部数据安全保护的态度,但却依然没有能够建立起足够的访问控制策略,实现按照员工职责范围以及所处等级来对访问进行有效限制的目标。

来源:ZDNet安全频道 2013年1月30日

关键字: 数据访问 安全管理 数据安全

  • 评论
  • 分享微博
  • 分享邮件

由于公司依然没有做到对数据访问管理策略进行重新审视,以及与内部组织结构建立起对应关联来,这就让它们很容易遭遇内部机密数据泄露或者被员工盗取等类型的安全事故。

星期五的时间,英普华亚太及日本区副总裁史特利·奈杜接受了ZDNet亚洲的专访。按照他的说法,在涉及到只有谁才能够访问哪个数据集的问题时,很多公司并不明白怎么才能建立起具体管理规则以及实际工作流程来。

奈杜解释说,尽管公司已经知道需要对重要以及机密数据进行细分与保护,也就是说将客户名单以及产品开发数据等项目从常规信息中剥离出来,但却依然没有能够达到对员工访问、提取以及复制数据等操作进行全面管理与控制的程度。

对于巨型公司来说,当前所面临的主要挑战就是由于大量员工会因为促销或者工作调整等原因从一个部门调动到另一个部门而造成的。换句话说,在这一过程中,技术部门无法做到对员工拥有的数据访问权限进行有效控制。

这位高管声称,举例来说,尽管人力资源部门的工作人员可能应该获得全体员工的信息,但如果他被调动到会计或者销售部门的话,所拥有的权限却依然没有受到相应的控制。

“什么问题都是有可能发生的”

奈杜指出,这种安全方面的失误之所以会出现,就是因为公司在事前就假定自家员工中不会出现基于个人利益而利用漏洞的情况。他进一步补充说,公司并没有认识到,一旦员工拥有了机密数据的访问权,“什么问题都是有可能发生的”。

他指出,举例来说,现实工作中就曾经出现过员工在离职加入竞争对手的公司之前,下载内部数据并利用原公司机密文件为自己的职业生涯添砖加瓦的案例。他还进一步补充说,员工盗窃公司财务收益方面数据的案件也是屡见不鲜。

奈杜的观点得到了达科解决方案开发群组负责安全解决方案的总经理吉多·克吕克的支持。按照他告诉ZDNet亚洲的情况,员工所带来的内部威胁正呈现出迅速增长的趋势。

克吕克认为,为了盗窃内部机密数据,员工中的无赖之徒现在可能会选择与来自外部的网络犯罪分子进行全面合作,涉及到的具体动机则从获取财务方面的更大收益到知识产权所有权在内不一而足。

此外,为了展示出员工对于公司数据“令人惊讶的态度”, 奈杜还利用到英普华在10月份发布的一份白皮书中提供的数据。他指出,有百分之六十二的受访者承认在离职的时间带走了属于公司的数据,有百分之五十六的承认进行过内部黑客活动,还有百分之七十的承认获得过不属于自身工作范围内的信息。

当然,他也指出,并非所有的数据泄露事故都属于故意造成的。不过,这位高管还提醒道,员工在无意之间将不应该公开发布的机密信息张贴到公共网络平台之上也属于经常出现的错误。

确保访问权限与内部级别保持一致

这位来自英普华的高管指出,为了达到更好地防范这类安全漏洞的目标,公司就需要建立起出一套行之有效的员工等级制度来,确保只有获得了授权的员工才能访问对应的数据。

他解释说:“现在,公司在处理数据时就必须做到基于重要程度来进行分类以及排序,并按照内部等级将具体访问权限对应到每一位员工身上”。举例来说,只有公司的高级主管,而不是基层员工,才能够拥有全部数据的访问权限。

他还补充说,公司对于跨部门调整等行动中出现的问题,必须做到牢记这就意味着需要对相关员工拥有的访问权限进行及时调整。

奈杜指出,与此同时,公司还需要对员工进行专门培训,确保所有人都能够了解到内部数据的重要性所在,以及如何才能将重要部分从其它数据中区隔出来,还有如果需要在社会化媒体上发布内容的话,应当由谁来进行审核。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章