DLP (Data Loss Prevention) 一詞對於 IT/IS 人員來說,可說是已經朗朗上口,甚至成為茶餘飯後的聊天話題。目前有很多現成的產品宣稱可以全面保護重要的資料,大多數保護的範疇以資料庫為主,但是也有一些產品以非結構性的資料 (如檔案) 為保護對象。然而除了導入技術性的產品之外,要做到更為完整的資料防護就不可以忽略資訊安全政策的重要性。因為很多時候重要資料並不一定只會以數位的形式存在,對於非數位形式 (如紙本) 的重要資料而言,唯有透過良好的安全政策才有辦法加以保護,而技術性的產品對此幾乎可以說是無任何用武之地。而且就算是針對數位形式的資料,同樣需要良好的安全政策才能讓技術性產品發揮應有的功能。舉例來說,如果公司對於資料存取的授權沒有一定的程序而任憑管理者自由心證,那麼就算佈署再好的技術性產品也是枉然。
做到了這些,資料就安全了嗎?很可惜答案還是否定的。以目前的商業環境而言,這些寶貴的資料大多會被具備網路功能的服務所取用。標準的 DLP 產品可以避免寶貴資料透過 Email、HTTP、IM 等方式外洩出去,但是對於客製化的系統 (像是 CRM 或 E-commerce 等) 通常就愛莫能助了。這個議題屬於軟體安全 (Software Security) 與應用程式安全 (Application Security) 的範圍,對許多組織來說是比較不受重視的議題。除了不受重視之外,軟體安全/應用程式安全的負責人員也跟上述 DLP 產品或資訊安全政策負責人員有所不同,因此雙方如何合作以達到無間隙的防護能力,更是需要特別費心的事項。前一陣子沸沸騰䲢的 AT&T iPad 客戶資料外洩事件,據悉並不是因為 iPad 本身設計的問題,而是網站應用系統出現安全漏洞而造成的。以 AT&T 跟 Apple 這麼知名與具備技術能量的公司都尚且出現這麼嚴重的瑕疵,可見得問題的嚴重性與影響層面之大。或許大家可以說 AT&T 跟 Apple 本來就不是以 Web 與 Security 著稱,那麼 Google 呢?這家網路原生的網路巨擘,不斷強調其服務的安全性,但是依舊免不了遭受駭客攻擊成功的下場。舉這些例子並不是為了數落這些公司,因為我相信絕大多數的組織並不見得會做的比他們更好。今天發生在 iPad 上面,或許無法改變 iPad 持續熱賣的事實。但是如果類似的事情發生在其他的組織中,會有多少組織能夠全身而退?既然問題如此嚴重,我們又怎能不認真地面對軟體安全/應用程式安全這些議題,並好好擬定對策呢?
相關連結:
沒有留言:
張貼留言