最近的兩大新聞報告已然證實����,您企業(yè)最大的安全威脅是來自于您企業(yè)的工作人員����,而并不是來自外部黑客的攻擊。
一系列關于云存儲的研究報告重申了關于數(shù)據(jù)存儲領域的一個持久的和但其實卻是顯而易見的事實:您的企業(yè)的最大的安全威脅并不是來自于外部的黑客攻擊��,反而恰恰可能是來自于您企業(yè)自己的工作人員���。
第一項調研來自Ipswitch File Transfer��,這是一家安全文件傳輸和數(shù)據(jù)監(jiān)控軟件制造商��。他們調研了在全球范圍內的555名的IT專業(yè)人員�����,詢問這些IT專業(yè)人員的文件共享的習慣����,結果發(fā)現(xiàn)��,76%的IT專業(yè)人士表示認為能夠安全地傳輸文件是相當重要的,而有61%的受訪者則使用了不安全的文件共享云服務��。
該項研究還發(fā)現(xiàn)���,32%的IT專業(yè)人員在其所供職并沒有一套完備的文件傳輸策略�����,25%的受訪者表示他們計劃將建立一套,另有25%的受訪者表示���,他們所在的企業(yè)有一套嚴格的文件傳輸策略�����,但具體執(zhí)行情況卻并不一致���。
21%的受訪者報告稱,他們所在的企業(yè)在過去可能遭遇過數(shù)據(jù)泄露事件�����,但他們并不完全確定;而38%的受訪者則表示說�,他們所在企業(yè)的相關安全識別流程和減輕風險的措施是低效的。
另一項調研是由文檔管理、記錄管理和數(shù)字影像公司Crown Records Management公司及Censuswide公司���,他們的調研報告發(fā)布于今年2月8日的清理電腦日當天����,該項調查發(fā)現(xiàn)�,在超過雇傭了200名工作人員的企業(yè)中,有55%的IT決策者并沒有制定相應的電子郵件數(shù)據(jù)保留管理政策����,58%的受訪者并未定期審核他們的紙質數(shù)據(jù)材料,60%的受訪者沒有定期對其所在企業(yè)存儲在云或企業(yè)內部的文件進行評審�,64%的企業(yè)并未對存儲到云服務的相關數(shù)據(jù)進入過濾。
在所有接受調研的受訪者中�����,有76%的人表示他們所在的企業(yè)并沒有一套系統(tǒng)來幫助他們區(qū)分哪些數(shù)據(jù)必須被保留�,而哪些數(shù)據(jù)則不必要被保留。
“這一問題的嚴重性在于��,其已經存在了很長的一段時間了�����,而云存儲僅僅只是出現(xiàn)該問題的一個最新的領域。企業(yè)在其日常運營過程中����,往往并沒有花時間來發(fā)現(xiàn)相關存在的問題,并確定數(shù)據(jù)存儲過程中必須要堅持的相關管理政策���。”Hurwitz &Associates公司的副總裁兼首席分析師Jean Bozman表示說��。
她說:“我們現(xiàn)在生活在當下�����,所以我們正努力做到最好。”但是���,當了解到災難恢復和高可用性的現(xiàn)狀時���,企業(yè)組織采取適當?shù)臅和4胧┦欠浅V匾模还苁侵苣┬菹⑵陂g�����,或者只是您自己擁有的文檔���。”她補充說����。
Ipswitch公司的高級產品營銷經理Paul Castiglione表示說,有很多的云文件共享服務都增加了安全功能以應對不良行為�����,而這也是越來越有必要的�。
“如果我們每個人都是完美的,就不會有錯誤����。但統(tǒng)計數(shù)據(jù)也顯示,在企業(yè)組織發(fā)生數(shù)據(jù)丟失的事故中��,其中有三分之一的事件是由于人為操作錯誤所引發(fā)的����,而三分之一是由于進程和網絡錯誤;另有三分之一才是源于惡意的攻擊活動。所以�,有三分之二的數(shù)據(jù)丟失其實是企業(yè)組織可以在自己的網絡環(huán)境下控制的。當然����,我們必須要訓練我們的員工����,以便盡量讓他們不犯愚蠢的錯誤���,同時也要確保為他們提供相應的技術����,以便讓他們不犯錯誤�。” Castiglione說。
他補充說�,雖然針對員工操作行為的合規(guī)性培訓是一個重要的方面,但相關的流程自動化也應該到位�,以便他們在涉及到文檔傳輸,以及企業(yè)內部與云服務之間的交換操作時�����,不會出現(xiàn)任何錯誤����。他曾經遇到很多企業(yè)客戶根本不允許執(zhí)行手動文件傳輸���。
“這聽上去可能是相當令人震驚的�,但這是為了確保數(shù)據(jù)傳輸移動的安全,這通常是支持某種形式的一個既定的業(yè)務流程����。”他說。如果我將其自動化�����,減少了人為錯誤��,提高了處理效率��,也幫助員工提高了工作效率�,從而禁止文件被發(fā)送到諸如俄羅斯的某個錯誤的FTP服務器。” Castiglione表示說�。
失敗的政策和關注
云存儲提供商StoAmigo公司的產品開發(fā)副總裁理查德•斯泰爾斯表示說,供應商錯誤的讓律師決定了相關的政策�。“在大多數(shù)情況下,最終的供應商服務合同的簽署往往是由律師所撰寫的���,而在合同中必然涉及到相關對于供應商或云供應商及企業(yè)客戶的保護政策的相關規(guī)定���,而正是因為這些政策是為了保護供應商的。他們列出了服務供應商們將不負責停機時間���、不負責數(shù)據(jù)丟失等等狀況���。”他說�����。
他還說����,大多數(shù)云存儲公司時采取的方式存儲��。“假設企業(yè)用戶上傳了一些數(shù)據(jù)文檔到云存儲���。那么為該企業(yè)用戶提供存儲服務的供應商并不在意我把什么樣的數(shù)據(jù)上傳到了服務器�,他們關心的是我消耗了多少存儲空間�����。而沒有對于相關上傳或下載文檔質量檢查的監(jiān)控��,也并不能保證發(fā)送方和接收方之間出現(xiàn)狀況�。”他說����。
這尤其適用于清理您的舊數(shù)據(jù)存儲���。不要指望您的供應商會為您這么做,您企業(yè)也不應該想要的����。“我無法想象一家企業(yè)客戶會允許第三方仔細翻閱他們存儲在云中的數(shù)字內容。任何有數(shù)據(jù)內容在云存儲企業(yè)組織或個人都會對他們的隱私內容有足夠的預期��。”斯泰爾斯表示�。
云存儲提供商不參與數(shù)據(jù)管理,所以一旦數(shù)據(jù)被傳輸?shù)綌?shù)據(jù)庫����,即被存儲。主機不循環(huán)的管理數(shù)據(jù)����,因為坦率地說,數(shù)據(jù)管理不屬于他們的業(yè)務���。所以存儲管理����,包括重復數(shù)據(jù)刪除和清除舊數(shù)據(jù),是您企業(yè)用戶自己的責任而不是您的服務提供商的責任�����。
“這一切都始于企業(yè)組織自身�����。”斯蒂爾斯說��。企業(yè)用戶必須確定數(shù)據(jù)的價值��。對于一些企業(yè)組織來說�����,數(shù)據(jù)并不重要�����,而對于其他某些企業(yè)組織來說�����,這是他們的生存命脈�����。使用Facebook的一般用戶并不關心他們的數(shù)字內容���。但如果您是一名律師或是攝影師�����,管理您的數(shù)據(jù)化內容就是您的生存命脈���。所以這一切都取決于客戶自身。”
自動化是解決答案嗎?
Castiglione主張通過采用自動化�����,以減少人為操作錯誤�����。并表示說��,必須有特定的特征和功能�����。對于剛剛你開始部署自動化的企業(yè)用戶來說,任何自動化服務或軟件都應該確保他們對文件級別有可見性��,而不僅僅是停留在文件夾級別�,而且能夠讓企業(yè)明確知道誰有權限訪問到何種的文件級別。此外�����,確保有相應的訪問控制�,以確保企業(yè)用戶的供應商能夠提供適當?shù)脑L問控制。
他說�,云存儲供應商有很多亟待改進的空間。“大多數(shù)的文件共享供應商都僅僅只是提供簡單的方便消費者使用的協(xié)作工具���,而不是一個很好的保護文件和方便訪問的地方����。所以這是一個完全不同的心態(tài)�。” Castiglione說。
企業(yè)用戶務必要仔細閱讀您的合同�。“我的建議是,認真研究您與您企業(yè)服務供應商的合同條款和條件��。看看他們會對哪些情況負責��,而您企業(yè)自身有需要對于數(shù)據(jù)負擔哪些責任���。同時,合同還能告訴您您企業(yè)有什么樣的資源���。”他說���。
“一些云存儲公司在教育他們的客戶應該做些什么,以及怎么做方面做得相當好��。而其他一些云存儲服務供應商則沒有做到那么多的工作����。企業(yè)用戶會看到有很多的關于免費存儲的服務,但您總得要支付相應的代價�����。因為這些免費的服務可能在后端沒有很多的支持�。”斯蒂爾斯補充道。
Bozman說��,讓時間來慢慢檢驗您的服務供應商的服務吧。“安排一些時間來進行檢驗�,或者如果您企業(yè)自身實在抽不出人手,雇傭一些額外的人手協(xié)助這樣的工作�����。如果所有的服務都是支持生產流程的����,其很難停下來專門查看。在今天��,企業(yè)用戶的設備都是盡量保持精簡化運行����,但人為操作設備的比例在今天的企業(yè)所占的比重仍然非常高。”她說�����。
文章來源:機房專用空調 http://www.yuanchangqo.cn
加入收藏
設為首頁
熱線:010-62104284 
在線咨詢
電話咨詢