打印本文 
关闭窗口 亡羊补牢
今年五月,一台包含无数当前和过往军事人员姓名、生日、社会福利号的笔记本电脑失窃,让美国退伍军人事务管理部薄弱的安全管理引起广泛关注。人们质疑,如果IT部门未雨绸缪,提早实施必要的安全政策,是否就能防止员工因为做项目而把2,650万未加密的数据记录带回家去。这台笔记本电脑是在员工家里发生入屋盗窃时被偷走的。当六月下旬美国联邦调查局(FBI)找到这台电脑时,退伍军人事务管理部主管信息安全的官员小佩得罗·卡德纳斯(Pedro Cadenas Jr.)宣布辞职,而早前该部门负责制订安全政策的副助理秘书迈克尔·麦克勒敦(Michael McLendon)也已经离职。
受到四月和五月几起数据泄漏事件引发震动的影响,俄亥俄州大学也在全面检查它的安全政策,在这几起数据安全事件中,36.7万在读和毕业学生、校友和员工的社会福利号及其他数据被泄漏了出去。学校就此展开调查,其中包括在六月暂停了其通讯网络服务主管和互联网及系统部经理职务。
俄亥俄州大学聘用摩兰技术咨询公司(Moran Technology Consulting,LLC.)帮助它加强安全管理,摩兰技术咨询公司建议大学明确各部门相关技术人员的角色与职责。俄亥俄州大学已经开始重建它的IT部门,确定人员的角色、职责和审核制度。校董会最近刚刚批准了校长罗德里戈·麦克戴维斯(Roderick McDavis) 提交的400万美元信息安全经费申请,经费将用于加强IT安全管理和由摩兰技术咨询公司展开对所有服务器账号的审核,寻找系统中可能存在的安全漏洞,确认密码是否符合必要的强度、复杂度和
长度,等等。
然而这一切的努力都是亡羊补牢,对安全政策审查、沟通和修正的最好时机当然是潜在安全问题爆发之前。“雇员或者承包商为使自己的工作更简单方便,常常做出违反安全政策的决定。”普度大学(Purdue University)研究信息保障和安全的教育与研究中心教授和执行总监尤金·史派福(Eugene Spafford)在退伍军人事务管理部事件调查委员会的听证会上表示。“这样的安全事故真是司空见惯。”史派福证实,只要能顺利完成工作且没有意外情况出现,就没人会想到去强化
安全策略。
潜在威胁
让人担忧的是,公司一方面希望IT部门制订有效的信息安全条文,还指望员工都对这些条文烂熟于心并遵照执行,但是在另一方面,公司却不愿意对IT部门和整个机构的培训和教育进行相应的投入。
一份《InformationWeek》对966家美国公司进行的调查显示,“监测用户是否遵守安全政策”被评为IT主管最关注事项。安全政策通常定义了谁可以访问数据、数据可以被如何使用、用户数据可以或不可以储存在某个地方、如果数据泄密公司必须遵从哪些潜在的法律规章以及数据是否应该加密等等。
然而,调查中仍有超过一半的公司表示,安全策略与技术的培训对减少员工数据泄密没有影响,这也与《InformationWeek》2006年全球安全调查中欧洲与中国的情形吻合。实际上,全球调查中绝大多数公司承认,他们没有对员工进行常规化的信息安全政策与流程培训。
根据《InformationWeek》的调查,在美国,CIO一般与IT主管、经理和部门领导一起制订安全政策。欧洲的情况不太一样,通常由总裁或CEO直接与IT经理层和安全管理员们一起制订安全政策。大量的建议对安全政策的制订大有裨益,但这也有可能让政策制订的过程异常漫长,直到安全问题出现时,相关政策仍然处于热烈的讨论之中。
在布朗大学(Brown University),IT安全总监康妮·桑德勒(Connie Sadler)正与总法律顾问、内部审查员、教师、员工和其他人员详细讨论,一起制订管理笔记本电脑和其他设备下载与储存保密信息的政策。但因为提出这一政策对整个校园的工作方式都有巨大影响,因此它现在仅作为非强制性的指引颁布。“我们这样做的部分原因是要保护我们的IT员工。”桑德勒坦承,并希望在一年内看到这些指引能转化为政策。“虽然我们请技术人员对数据保护和数据访问策略做了规定,但实际上决策并非他们的职责范围,这得由高级管理层说了算。”桑德勒补充说。
不过,CIO们应该清楚,随着数据泄密事件的增多,业界不会再允许模棱两可的态度和官僚主义的作风危害到公司的信息安全,下一次再有事故,也许就是你的位置难保了。
(J. Nicholas Hoover对本文亦有贡献)