许多组织机构投入了大量的人力、财力和精力来制订安全策略、采购保护技术,这些策略和技术的矛头无不对准组织机构外部的黑客、间谍软件和病毒。不过,许多组织机构如今开始认识到:内容安全还有另一个方面需要关注——由内到外的信息泄漏。
“由内到外”的威胁极其严重
组织机构不但需要为自己发布的宝贵知识资产操心,如今还必须应对从消费者隐私到财务信息披露的众多问题方面越来越大的法规监管压力。这一切处在政府和消费者不信任公司的背景下;这样一来,采取正当做法来保护消费者信息和股东信息、并切实得到预期行为就更加困难了。这种内部或“由内到外”的威胁极其严重。据近期的数据显示,每天有多达2亿个微软Office的商业用户通过电子邮件发送1亿多个文档。这相当于每个用户每年发送的文档超过125个。而且这个数字只考虑到通过电子邮件共享的信息,更不要说通过其他电子方式发送的信息了。如今文档是公司的通用媒介,它们在组织机构之间不断转移。
由内到外的威胁带来了严重风险,从而有可能导致公司蒙受重大损失,体现在面临诉讼、遭到监管部门惩罚、丢失业务、知识产权被人侵犯,以及最宝贵的资产名誉遭受难以估量的损害。另外,遵循监管法规和公司策略的重要性不可低估。各种文档及其他商业信息对每个组织流程而言至关重要,包括财务文档、客户和供应商合同。每一个常见的业务流程都有相关的法规及内部治理策略,组织机构必须严加遵守。合规要求分成好几类,包括如下:
财务报告法规,比如《萨班斯-奥克斯利法案》、《2005年投资基金、公司和杂项条款法案》以及国际会计准则理事会(IASB)的国际财务报告准则(IFRS);
隐私和信息披露法规;
行业性规则,比如医疗行业的《健康保险可携性及责任性法案》(HIPAA)和金融服务行业的《巴塞尔第二号协议》(BASEL II); 知识产权的保护;
客户合同及影响公司收入的其他文档。
明白这些合规要求可能适用于许多文档和业务流程,这点同样很重要。比方说,按照《萨班斯-奥克斯利法案》的第404条以及欧洲共同体、日本和澳大利亚的类似法规等法律,影响收入或成本报告的任何文档或信息交换必须是完全能够审计的。这项审计要求扩大了适用范围,还需要了解主要文档在整个积极评审过程期间的历史。要是没有足够深入地了解内外合规要求带来的影响,以及它们如何影响信息的生成及共享,可能会带来严重的商业后果。因而,合规、隐私、安全和法律等方面的主管面临的主要挑战是,在合规的背景下,积极有效地了解及管理风险,又不干扰公司依赖的重要文档的流动。公司必须管理下面四种信息泄漏的风险:
文档和邮件里面所含的可见信息;
文档和邮件里面所含的隐藏信息;
必须加以限制的全部文档;格式转换工件
这四种信息泄漏的例子在新闻媒体上屡见不鲜,导致了国际政治危机、遭到监管部门惩罚、股东诉讼、丢失业务以及名誉受损等等。管理与交换商业文档有关的风险,就需要结合政策的制订及执行。组织机构一定要有系统性方法来制订策略、执行策略。
出站内容安全的五个步骤
在如今的全球化商业环境下,出站内容安全成了不断面临的挑战,它需要行动、衡量及定期的重新评估。组织机构只有全力以赴,才有希望管理与离开组织机构的商业文档及其他内容有关的风险。下面是应对这种挑战的一系列最佳实践。
第一步:教育
为了准确评估风险,组织机构必须首先了解与交换商业信息有关的几类风险,以及信息泄漏的几种类别。风险的三个关键方面是安全性、合规性和准确性。信息泄漏的四种类别是:可见信息、隐藏信息、应当加以限制的全部文档,以及用户看不见、但一旦重新转换成原始格式又必须可见的格式转换工件。
第二步:评估
在整个过程的这一阶段,必须进行评估。这项评估至少应当评估第一步当中定义的风险、管理这些风险的现有策略和流程(可能尚无现有策略和流程),以及用户对所描述风险的意识。
第三步:制订策略
许多组织机构已制订并实施了信息风险分类机制。信息风险通常分为以下几类:高度机密、机密、只限内部使用或者不受限制。此外,建议不但按照如上所述的风险级别对文档进行分类,还要按照风险驱动因素对文档进行文档。这就提供了分类机制的第二个方面。风险驱动因素通常包括:隐私、财务信息披露、知识产权和行业性法规。这第二个方面可以根据这两种分类对信息风险进行不同的处理。比方说,高度机密的财务文档通过电子邮件发送给审计人员和财务人员也许可以接受,但是发送给信用卡处理公司不可以接受。
第四步:执行策略
合规官员和安全人员如今必须想方设法确保策略得到执行。这就需要在整个组织机构实施诸多变化:教育方面的变化、流程方面的变化以及技术方面的变化。
第五步:合规审计
组织机构必须落实相应机制,以便监控及审计信息安全防范策略的执行情况、适用性及有效性:
定期评审近期及即将出台的法规、规则和立法,这可能会改变风险状况和安全策略。这可以确保组织机构不会得意洋洋、随时了解监管环境方面的变化。
经常审计信息安全技术的使用――员工及其他人每天在如何认可及使用技术。不断评审文档的分类及相关用户,以便确保策略跟得上组织变化的需要。
分为“五个步骤”的这种方法其目的不是要全面解答出站内容安全问题,而是作为一系列最佳实践,重点突出需要考虑的几个主要方面:了解哪些环节存在信息安全漏洞、评估整个组织机构内风险大小、制订风险缓解策略并加以实施;最后,定期进行审计以确保遵守策略。出站内容安全是一个长期的问题,需要行动、衡量及定期的重新评估。组织机构只有全力以赴,才有希望管理与商业信息有关的风险,并缓解风险。