個人身份信息 (PII) —新聞中�,這6個字常掛在安全部門人士的嘴邊���,隨著不少機構(gòu)出現(xiàn)數(shù)據(jù)外泄事件,“個人身份信息”一詞出現(xiàn)的頻率日益頻繁�����。
數(shù)據(jù)泄漏的出現(xiàn)�����,幾乎總是PII所導(dǎo)致----PII所含的數(shù)據(jù)能用作身份盜竊(每一份數(shù)據(jù)都能夠指向一個具體的用戶����,我們能從中得知此人的信息,比如姓名��,主旨�����,出生日期�,電話號碼或社保號碼),不知為何這些數(shù)據(jù)到了網(wǎng)絡(luò)黑客手中�。
在過去的幾年里,順從性細則在亞太地區(qū)的推行變得更廣泛�����,PII保護變得更為重要�,這就督促各機構(gòu)調(diào)整安全機制。身份盜竊的興起�����,最終堅定了行政管理人士及公司管理者的決心����,在國家范圍,企業(yè)范圍內(nèi)實行順從性細則���,以及《數(shù)據(jù)保護加密法》�。若違反這些法律,會受到高額的罰款����,以及其他對企業(yè)相關(guān)業(yè)務(wù)的罰款。
以上的方法收效甚微��,身份盜竊依然呈上升趨勢�����。云合作平臺�����,社交網(wǎng)絡(luò)�����,移動性�����,以及其他IT趨勢為網(wǎng)絡(luò)黑客提供了契機�����,從網(wǎng)絡(luò)盜取用戶最重要的個人信息�����。每年發(fā)生的數(shù)據(jù)外泄越來越多��,執(zhí)法機制僅提高所有部門的懲罰力度以對�,而與客戶信息打交道的機構(gòu)卻越來越多,這些機構(gòu)處理并存儲的往往是客戶最敏感的信息��。例如����,在全球范圍內(nèi),上市公司對SOX證書的需求有所增加�����,銀行和金融公司更是對GLB(最大下界限)條例嚴格執(zhí)行���,以信用卡支付作為主要的支付方式的交易也在增多����。
在以上機構(gòu)中,實行PII數(shù)據(jù)保護����,將不僅是業(yè)務(wù)營生的關(guān)鍵,還將幫助主管們避免巨額罰款�����,甚至牢獄之災(zāi)����。
違規(guī)罰款可高達數(shù)十萬美元或更多,然而���,“清理”和修復(fù)安全機制的成本輕易就超能過這個數(shù)字�,因此在發(fā)生過的數(shù)據(jù)泄露事件中�,客戶PII數(shù)據(jù)不是意外就是被惡意外泄。“清理”包括:整個數(shù)據(jù)庫的物理快報���,應(yīng)對客戶查詢的資源�����,以及應(yīng)對新型信用卡潛在制造成本的資源����,信譽損失的處理就更不用說了����。這些費用相疊,足以使一家公司破產(chǎn)����。
由于費用近乎天文數(shù)字,IT管理員很是害怕PII丟失或外泄����,而最高等級的C級執(zhí)行人員幾乎夜不能寐。
當(dāng)然�,請牢記,沒有100%的數(shù)據(jù)安全����,尤其是在網(wǎng)絡(luò)服務(wù)器上存儲數(shù)據(jù),以及通過移動應(yīng)用處理常規(guī)交易時��,風(fēng)險尤其大�����。然而,有一些機構(gòu)通過實踐���,找出了最佳方法����,使情況不再那麼嚴峻����。
在減輕組織風(fēng)險上,管理與員工教育是關(guān)鍵因素��,因此����,角色型安全工具應(yīng)運而生。
尤其當(dāng)發(fā)生數(shù)據(jù)外泄時���,角色型數(shù)據(jù)丟失防護產(chǎn)品不僅能夠記錄在案�,并向IT管理員發(fā)出警告����,同時還使安全部門能夠?qū)?shù)據(jù)外泄做出相應(yīng)應(yīng)對�。這些緩和技術(shù)可以從存檔數(shù)據(jù)傳輸�����,到使用報警管理�,在威脅處理完畢前��,中止用戶或危險交易���。
不過若是如此�,知識授權(quán)�,以及機構(gòu)最重要的一步,就將是定位所有風(fēng)險領(lǐng)域��,并進行全面評估�。本質(zhì)上而言,這意味著公司需要確定所有PII的存儲地點��,確定誰有權(quán)訪問信息�,以及怎樣在機構(gòu)內(nèi)外移動PII。一旦該信息被發(fā)現(xiàn)和分類�����, IT管理員有責(zé)任實施適當(dāng)?shù)陌踩邅肀Wo數(shù)據(jù)。
