許多組織機構投入了大量的人力、財力和精力來制訂安全策略、采購保護技術,這些策略和技術的矛頭無不對準組織機構外部的黑客、間諜軟件和病毒。不過,許多組織機構如今開始認識到:內容安全還有另一個方面需要關注——由內到外的信息泄漏。
“由內到外”的威脅極其嚴重
組織機構不但需要為自己發布的寶貴知識資產操心,如今還必須應對從消費者隱私到財務信息披露的眾多問題方面越來越大的法規監管壓力。這一切處在政府和消費者不信任公司的背景下;這樣一來,采取正當做法來保護消費者信息和股東信息、并切實得到預期行為就更加困難了。這種內部或“由內到外”的威脅極其嚴重。據近期的數據顯示,每天有多達2億個微軟Office的商業用戶通過電子郵件發送1億多個文檔。這相當于每個用戶每年發送的文檔超過125個。而且這個數字只考慮到通過電子郵件共享的信息,更不要說通過其他電子方式發送的信息了。如今文檔是公司的通用媒介,它們在組織機構之間不斷轉移。
由內到外的威脅帶來了嚴重風險,從而有可能導致公司蒙受重大損失,體現在面臨訴訟、遭到監管部門懲罰、丟失業務、知識產權被人侵犯,以及最寶貴的資產名譽遭受難以估量的損害。另外,遵循監管法規和公司策略的重要性不可低估。各種文檔及其他商業信息對每個組織流程而言至關重要,包括財務文檔、客戶和供應商合同。每一個常見的業務流程都有相關的法規及內部治理策略,組織機構必須嚴加遵守。合規要求分成好幾類,包括如下:
明白這些合規要求可能適用于許多文檔和業務流程,這點同樣很重要。比方說,按照《薩班斯-奧克斯利法案》的第404條以及歐洲共同體、日本和澳大利亞的類似法規等法律,影響收入或成本報告的任何文檔或信息交換必須是完全能夠審計的。這項審計要求擴大了適用范圍,還需要了解主要文檔在整個積極評審過程期間的歷史。要是沒有足夠深入地了解內外合規要求帶來的影響,以及它們如何影響信息的生成及共享,可能會帶來嚴重的商業后果。因而,合規、隱私、安全和法律等方面的主管面臨的主要挑戰是,在合規的背景下,積極有效地了解及管理風險,又不干擾公司依賴的重要文檔的流動。公司必須管理下面四種信息泄漏的風險:
這四種信息泄漏的例子在新聞媒體上屢見不鮮,導致了國際政治危機、遭到監管部門懲罰、股東訴訟、丟失業務以及名譽受損等等。管理與交換商業文檔有關的風險,就需要結合政策的制訂及執行。組織機構一定要有系統性方法來制訂策略、執行策略。
出站內容安全的五個步驟
在如今的全球化商業環境下,出站內容安全成了不斷面臨的挑戰,它需要行動、衡量及定期的重新評估。組織機構只有全力以赴,才有希望管理與離開組織機構的商業文檔及其他內容有關的風險。下面是應對這種挑戰的一系列最佳實踐。
第一步:教育
為了準確評估風險,組織機構必須首先了解與交換商業信息有關的幾類風險,以及信息泄漏的幾種類別。風險的三個關鍵方面是安全性、合規性和準確性。信息泄漏的四種類別是:可見信息、隱藏信息、應當加以限制的全部文檔,以及用戶看不見、但一旦重新轉換成原始格式又必須可見的格式轉換工件。
第二步:評估
在整個過程的這一階段,必須進行評估。這項評估至少應當評估第一步當中定義的風險、管理這些風險的現有策略和流程(可能尚無現有策略和流程),以及用戶對所描述風險的意識。
第三步:制訂策略
許多組織機構已制訂并實施了信息風險分類機制。信息風險通常分為以下幾類:高度機密、機密、只限內部使用或者不受限制。此外,建議不但按照如上所述的風險級別對文檔進行分類,還要按照風險驅動因素對文檔進行文檔。這就提供了分類機制的第二個方面。風險驅動因素通常包括:隱私、財務信息披露、知識產權和行業性法規。這第二個方面可以根據這兩種分類對信息風險進行不同的處理。比方說,高度機密的財務文檔通過電子郵件發送給審計人員和財務人員也許可以接受,但是發送給信用卡處理公司不可以接受。
第四步:執行策略
合規官員和安全人員如今必須想方設法確保策略得到執行。這就需要在整個組織機構實施諸多變化:教育方面的變化、流程方面的變化以及技術方面的變化。
第五步:合規審計
組織機構必須落實相應機制,以便監控及審計信息安全防范策略的執行情況、適用性及有效性:
定期評審近期及即將出臺的法規、規則和立法,這可能會改變風險狀況和安全策略。這可以確保組織機構不會得意洋洋、隨時了解監管環境方面的變化。
經常審計信息安全技術的使用――員工及其他人每天在如何認可及使用技術。不斷評審文檔的分類及相關用戶,以便確保策略跟得上組織變化的需要。
分為“五個步驟”的這種方法其目的不是要全面解答出站內容安全問題,而是作為一系列最佳實踐,重點突出需要考慮的幾個主要方面:了解哪些環節存在信息安全漏洞、評估整個組織機構內風險大小、制訂風險緩解策略并加以實施;最后,定期進行審計以確保遵守策略。出站內容安全是一個長期的問題,需要行動、衡量及定期的重新評估。組織機構只有全力以赴,才有希望管理與商業信息有關的風險,并緩解風險。
