資料外洩時代的偏執與準備

威訊通訊 (Verizon) 最近披露,其法律團隊已開始著手調查雅虎 (Yahoo!) 大規模資料外洩的衝擊,及其對於即將進行的收購所產生的影響。 消息人士認為這項調查將會長期進行,並可能危及這筆 48 億美元的交易。

資料遭到如此大規模外洩的情況 (5 億筆身分資料遭到外洩) 將產生持久影響,這點毫不令人意外。 LinkedIn 和 Dropbox 大規模資料外洩 (以及導致的骨牌效應) 仍然餘波蕩漾,但對於雅虎而言,出現資料外洩的時機可說再糟糕不過了。 如果威訊通訊對雅虎的收購未能順利完成,這次資料外洩事件可能會在保護使用者身分的重要性方面樹立歷史性的先例。

除了業務和聲譽長期受到影響之外,我還想特別說明雅虎的一些內部安全性做法,這些做法使得該公司容易受到攻擊。 根據一篇紐約時報文章,該公司確保身分安全性的做法相當寬鬆,這是各種型態的公司在有太多優先事項需要處理時,都會面臨的一個普遍問題。 例如,雅虎沒有強制要求員工執行密碼重設。 如果能夠在所有使用者中執行此類內部控管,就能夠將資料外洩造成的總體影響減至最低。

雖然很多人會將安全性措施先暫時擱置一旁,轉而採取在短期內能夠為企業帶來更多可見好處、需要迫切處理的措施,但事實是安全性意識和內部控管已經不再是次要的瑣事了。 在目前的現實情況中,因為使用者存取不當、弱式密碼、孤立帳戶、約聘人員存取敏感系統,以及更多其他問題造成許多資料外洩的情況,現今安全性意識已不再是能夠延後處理的事情。

因此,儘管我不認為我們需要生活在充滿偏執的世界中 (雅虎的 IT 安全性團隊在公司內部的代號為「偏執狂」),但我們確實需要作好準備。 人們現已實施了像強式密碼管理原則一樣簡單的措施,要求員工使用長而且複雜的密碼,對於他們擁有存取權限的每個應用程式或系統都使用不同的密碼,並在一年中按照特定時間間隔更新每個密碼,這樣可以使公司免遭資料外洩。 強制執行這些原則,並不意味 IT 安全團隊必須與「他們」(公司其他部門的員工) 站在對立面,這些原則可以 (同時也應該) 作為未雨綢繆的一種手段,深植在公司的文化中。 就像您全家準備要出國渡假時,您一定會確定門窗已經鎖上、護照和其他重要的身分證件已安全地放在隨身行李中,並且在從停車場走到機場航廈之前確定自己的汽車已經鎖上,針對可能的安全性漏洞提前作好規劃,這就是未雨綢繆的萬全準備與單純偏執狂症狀之間的不同。

將安全性深植在公司文化中的想法,是我們在自己公司時要銘記在心的事情。 在 SailPoint,我們有強固的安全性意識訓練方案,而不是繁瑣的命令,目標是使得方案容易實施,每個員工都容易理解其內容,並且與團隊中每個人的職能產生關聯。 安全性意識並不是讓許多人大翻白眼,認為只是「待辦事項」清單中又一個需要勾選的「項目」,而應該是整間公司都能夠團結一致,而不是讓安全性團隊遇到被人視為偏執狂的窘境。 因為,歸根到底,無論您身處哪個行業,公司品牌知名程度、企業的規模大小如何,沒有任何企業能夠在資料外洩的風險中置身事外。 對於現今的公司來說,採取額外的措施,讓安全性意識成為員工自然而然的習慣,只是朝正確方向邁出一步。 這一步不會使得您的企業成為偏執的公司,而是讓您未雨綢繆,做好準備。


討論

貴公司可節省多少成本

立即瞭解詳情