安全合规性仍然是企业的老大难

发布时间:2015-06-29 15:11 作者:佚名来源:机房360 点击:加载中...次

摘要：确保符合安全合规性和对于数据保护法规的遵守无疑是企业IT部门的一个永恒的负担。但事实上，这可以变得更容易。在IT领域，一些事务或许只是短暂性的，但另外一些事务则会随着时间的推移变得越来越重要。安全合规性即是如此。

从初期的数据保护法律颁布以来：包括911事件过后，于2002年颁布的《萨班斯·奥克斯利法案(Sarbanes-Oxley Act，SOX)》以及英国和欧盟的各种法律和指导方针，合规性一直是IT业界的一个噩梦。在许多情况下，其被认为是在企业内部能够与诸多事务都能够或多或少的扯上关系，包括IT和金融财务、安全和网络、技术和管理，如此诸多繁杂的事务足以使任何IT专业人士吓出了一身冷汗。

例如，如此众多的合规性标准包括支付卡行业数据安全标准(Payment Card Industry Data Security Standard, PCI DSS)要求企业实施实时的网络监测，确保其机密的企业资产处于高安全水平，并要求审计人员提供符合审计要求的网络合规审计报告。

在英国米尔顿·凯恩斯(Milton Keynes)地区委员会IT团队最近的一次会议上，一个被反复拿出来讨论的议题便是安全合规性的问题。地区委员会显然会定期的受到政局改选的影响，但在最近的大选结果公布之前，这些变化所带来的潜在影响则是未知的，而安全合规性也会受到政治局势的影响。那么，谁应该为此负责呢？

“这对组织机构而言无疑是一个相当巨大的问题。”米尔顿·凯恩斯地区委员会首席IT工程师马丁·希顿说。

“从某种意义来说很容易——每一个人都在努力降低运营成本，但是现在我们已经走到一个十字路口：鉴于成本是如此重要，就要搞清楚究竟应该由谁来把握和控制这一战略性问题？我是否愿意为遵守这些合规安全性付出更多成本代价来换取更好一点的IT访问体验，并使用IT服务以便能够有足够的灵活性随需求进行相应的改变？”

希顿还指出了该委员会曾遭遇过的PSN合规性方面的问题。为了连接到新的公共服务网络(PSN)，地方议会以及其他政府部门必须确保他们的安全连接符合由英国内阁所颁布设置的代码连接规定。

　　欧盟法规

但企业或组织机构的IT部门需要处理和应对的远不仅仅只是英国政府机构所颁布的各种合规性监管规定，他们还必须处理由欧盟组织所发布的各种规定。欧盟最新的数据保护法规也将带来一系列的问题，根据一家专注于云安全的企业Skyhigh Networks公司的欧洲发言人Nigel Hawthorn介绍说。

Hawthorn表示说，欧盟最新的数据保护法规将对所有曾收集了欧盟公民和居民数据的企业产生影响，而如果一旦违反，其严厉的制裁使得用户有权对企业丢失消费者私人数据提起赔偿，包括集体诉讼，还可能使企业面临被处于高达全球收入5%的违规罚款。

在这种情况下，相关的责任也延伸到了要求数据控制者们对于安全合规性的严格遵守——内容的所有者和数据的处理者的：如云供应商，对于数据保护也负有较重的责任。Hawthorn认为，相关的监管规定也充分考虑到了利用技术手段可以帮助保持数据的安全。并指出，如果数据被特别标记或“化名”是为满足个人对于数据隐私的合理期待。

“这对企业来说是好消息，因为它允许企业在将数据上传到云之前对其实施加密或特别标记，假设他们把加密密钥保管在企业内部的话，那么，即使数据丢失，也不会酿成太大的灾难。”他说。

另一个大问题是，当涉及到好几方都受到影响时，究竟谁应该担负起责任？例如，Hawthorn就指出了最近涉及到服务供应商TalkTalk公司的数据泄露事件，在该事件中，因为供应商因的数据泄露导致TalkTalk的客户数据被曝光，迫使该电信公司采取法律行动。

但这种情况在现如今可谓司空见惯了。这迫使企业的IT部门需要努力了解第三方供应商必须遵守哪些安全和合规标准，以及相关的数据最终去了哪里。Hawthorn说，在TalkTalk公司的案例中，其供应商有权限访问其客户的个人信息，但TalkTalk并不知道这些客户数据信息已经被提取，直到他们的客户反馈说总是收到电话骚扰和试图进行欺诈交易。

　　云计算和外包

一般而言，云计算和外包已经为企业遵守安全合规性带来了越来越多的压力。英国解决方案销售商CA Technologies的高级总监Paul Briault指出，软件即服务(SaaS)应用程序所涉及到得企业的敏感或机密数据可以说是另一大主要问题。

据Briault看来，SaaS或应用程序外包提供商通常未能很好的解决关于企业客户的机密数据或私有数据所涉及到的相关法律风险等重要问题：数据存储在何处，或者其是如何传播的。这可能会导致危险的合规性缺口和潜在的法律成本。在这种情况下，要求第三方和最终用户要敢于大胆的向他们的云服务提供商提问棘手的问题，以解决遵守合规性和安全问题。

“一个很好的起点将包括提问了解：谁有权访问数据和平台，数据中心的具体地理位置，该企业需要了解任何具体国家的相关立法规定，以及一旦数据泄露问题发生，该机构需要遵守的任何具有法律约束力的规定。”Briault说。

(责任编辑：安博涛)