数据保护合规性既提升安全又提升盈利

信息保护已经成为真正的生意，以至于政府和行业组织已经对数据安全规则以及数据泄露的相关惩处做出了明确规定。单美国自己就有许多法律和行业协定要求组织制定政策和过程来识别数据西楼风险。这些风险还必须基于其安全等级进行进一步分类，规则还要求制定特殊的保护和控制措施来保护数据。进一步还要求公司提供数据泄露事件的公开报告，无论是意外造成的还是出于恶意意图的。

不过尽管有许多这些非常特殊的数据保护合规性指导，挑战依然。2015年共发生了781起数据泄露事件，受连累的记录达到7亿份。网络犯罪已经发生了根本性的变化，从对网站造成严重危害的分布式拒绝服务攻击或者信用卡盗窃过渡到更阴险狡诈的犯罪意图。知识产权盗窃、黑客行为主义(hacktivism)、政府情报收集、数据泄露这些活动使得有组织犯罪成为常见的事情。近年来值得注意的一些泄露包括：

• 索尼身上发生的企业知识产权数据泄露。 存放在由美国人事管理局(OPM)管理的数据库中上百万个人可识别信息(PII)的泄露。PII包括了个人的社会安全号码、生日、地址等信息。
• 超过1亿的健康保险会员记录被盗，其中健康支付商Anthem泄露规模最大，被盗记录达到了7800万份。

从合规性角度来说保护敏感数据是重要的，但也会提供商业价值。上述泄露的共同主题是破坏组织安全措施导致的潜在损失与被盗内容的价值是直接相关的。比防火，泄露的索尼数据有可能包含了商业运作和交易的信息，这些信息有可能被用来操纵股票市场。OPM泄露有可能导致流氓国家对所有政府员工和承包商都建立档案，而盗取健康数据可以被用来进行保险欺诈。

总之，组织已经运用了网络边界安全方法，为的是防止泄露并在系统受牵连的情况下提供通知。这种办法仍然存在一定程度的风险：针对未必实时发生的泄露，以及在许多情况下等到影响被注意到泄露早已发生多时或者对哪些数据集已被盗取的检测能力。网络边界安全当然是防止数据泄露的必要组件，但是对于完整的数据保护计划来说光有这个是不够的，因为一旦防火墙被攻破，保护就受限了。

美国数据保护合规性监管

美国有几个行业相关的合规性法则概括了识别和缓和数据安全风险的过程。下面是美国数据保护合规性法则众多例子当中的一些示例：

在线数据保护：儿童在线隐私保护法案(COPPA)要求合理的过程去“保护对儿童个人信息收集的机密性、安全以及完整性。”

金融机构数据收集：根据金融服务现代化法案的安全规则，“金融机构必须形成书面的描述保护客户信息规程的信息安全计划。”该计划必须包括“在公司运营的每一个相关领域识别和评估客户信息风险，并且评估当前控制这些风险的保护措施的效能”的流程。

保护健康信息：健康保险流通与责任法案(HIPAA)隐私规则的目标是“确保个人的健康信息受到适当保护的同时允许必要的健康信息流动来提供和促进高品质的医疗保健……”

相应地，HIPAA违反通知规则要求，HIPAA涉及的实体及其关联企业在不安全的受保护健康信息被泄露后要提供通知，这种行为一般是指“在隐私规则下不被许可的、导致受保护健康信息的安全或隐私受侵犯的使用或者泄露。”

联邦机构数据保护：”2002年的联邦信息安全管理法案(FISMA)要求联邦机构制定计划来提供帮助保护信息资产的信息系统安全。FISMA指导这些机构“提供制定和维护最低要求所需的控制来保护联邦信息和信息系统。”

信用卡处理：支付卡行业数据安全标准(PCI-DSS)是一个行业性的标准，标准提出了若干控制措施来保护存储的持卡人数据并限制对这一数据的访问。

数据保护合规性的实施

更大的洞察要求进行更全面的敏感性分析、风险评估以及数据保护合规性控制的制度。为了强化遵守数据保护法规和行业指导意见的手段，需要处理好下面这三个实施信息和内容保护的关键问题：

数据感知：在数据资产可进行保护之前，我们必须意识到这种数据的存在。许多组织缺乏共享、可访问的主要数据集的目录，更不必说对犯罪分子有可能感兴趣的工作组或者桌面的人工产物进行详细评估了。因此，要在共享的详细目录中建立一个数据资产目录来帮助支持数据保护合规性过程。

敏感性评估：设计一个流程来分配被标识的数据资产的敏感度。然而，要意识到尽管不是每一个数据集都包含有敏感信息，但是从不同数据集调配出来的数据可能会创建出不断需要保护的信息集。要制定形成评估数据敏感度的办法，并且用来对数据集进行敏感度认定。

数据保护：对于那些包含敏感信息的数据集来首，必须运用特定应用方法来保护破坏安全事件的内容。要建立访问控制并且定义数据访问的角色和权限。这可能包括了加密(静态和动态)数据的手段，以及基于用户权限级别的数据掩码。

因为数据安全团队成员未必熟悉这些类型的数据管理最佳实践，在数据管理专业人士与安全管理专业人士之间建立合作关系就显得至关重要。这里面还需要技术支持全面的数据保护计划，拥有数据资产识别和管理的评估工具也很重要。这些技术可以在多个数据集组合起来是用来确定受保护数据泄露的风险是否会增加。

最后，要考虑利用加密和数据掩码策略的数据保护策略的实现方式。通过弥补网络边界安全与内容保护的鸿沟，你的组织就能拥有一个更加可预测的计划来将信息安全风险与对数据保护规则的违规行为降到最低。

作者：David Loshin

来源：51CTO