毫無疑問,安全問題是數(shù)據(jù)外包中最重要也最棘手的問題之一。
文|Adam Ely 譯|董德魯
目前,各種跡象都表明,全球IT外包趨勢還將持續(xù)升溫。《信息周刊》美國版對500名企業(yè)高管的調(diào)研顯示,2/3的受訪者都在采用離岸外包。有了成功的外包經(jīng)驗之后,企業(yè)現(xiàn)在已敢于將比較敏感的IT或業(yè)務(wù)處理工作轉(zhuǎn)移到海外進(jìn)行。商業(yè)技術(shù)經(jīng)理們最大的顧慮之一是數(shù)據(jù)的安全性,這里我們就談一談在與離岸合作伙伴加深合作關(guān)系時,有哪些重點(diǎn)的領(lǐng)域需要關(guān)注。
首先,我們要提醒剛開始離岸外包的企業(yè),在數(shù)據(jù)問題上任何時候都不能放松警惕。轉(zhuǎn)移到海外的數(shù)據(jù)與企業(yè)自行存儲的數(shù)據(jù)面臨著相同的基本風(fēng)險,這包括內(nèi)部盜竊、外部入侵、不慎遺失以及企業(yè)間諜等等。由于離岸數(shù)據(jù)具有一定的敏感性,而各國在這方面的法律標(biāo)準(zhǔn)有所不同,因此數(shù)據(jù)在海外丟失所帶來的問題很有可能會被放大。
離岸外包帶來的安全顧慮并非完全與所謂的排外情緒有關(guān)。外包商所在國的與數(shù)據(jù)和知識產(chǎn)權(quán)相關(guān)的法律很可能和企業(yè)所在國的法律大相徑庭。例如,顧能公司(Gartner)就給各國的數(shù)據(jù)和知識產(chǎn)權(quán)保護(hù)法進(jìn)行了評估,在去年11月該公司公布的一系列報告中,印度獲得的評級是“良好”,巴西是“一般”,墨西哥是“優(yōu)秀”,而中國則是“較差”。除了法律本身的不同之外,各國在執(zhí)法程度方面也可能出現(xiàn)很大差距。美亞博國際律師事務(wù)所(Mayer Brown)的律師布拉德·彼得森(Brad Peterson)向我們講述了關(guān)于某家美國公司的故事。這家公司在印度為了打擊對手盜竊知識產(chǎn)權(quán)的行為,花費(fèi)了200余萬美元打官司。最后,它在所有級別的法院審判中都贏得了訴訟,但是那家對手公司卻仍然逍遙法外,盜來的產(chǎn)權(quán)依舊照用不誤。因此,無論是在哪個國家外包數(shù)據(jù),企業(yè)都應(yīng)該全盤考慮相應(yīng)的利益和缺點(diǎn)。企業(yè)不僅應(yīng)當(dāng)在外包合同中將安全標(biāo)準(zhǔn)和法律追索等問題寫清楚,更要在技術(shù)和物理控制等前線陣地上建立堅固的防御體系。
安全認(rèn)證
聲譽(yù)卓著的大型外包商都擁有各種各樣的認(rèn)證(如ISO 27001)向你展示,但這并不意味著你就可以放松警惕。有時候,也許小公司反而能夠提供更專業(yè)和更具針對性的服務(wù)。
ISO 27001認(rèn)證主要考察的是公司對信息安全實(shí)踐和控制進(jìn)行的記錄和跟蹤。企業(yè)不僅應(yīng)當(dāng)參考審核員的結(jié)論,看看自己最看重的某些安全控制是否囊括在認(rèn)證體系之中,還應(yīng)當(dāng)對負(fù)責(zé)審核的機(jī)構(gòu)進(jìn)行調(diào)查,以確保其公正透明。此外,企業(yè)還應(yīng)該了解外包商是否遵循了業(yè)界的最佳實(shí)踐以及企業(yè)自身所在國的法規(guī)條例。比如說,在醫(yī)療保健方面,美國有健康保險可攜性及責(zé)任法(HIPAA),在信用卡數(shù)據(jù)方面,又有支付卡行業(yè)標(biāo)準(zhǔn)(PCI),外包商是否能真正符合這些要求?
在支付卡行業(yè)標(biāo)準(zhǔn)下,企業(yè)必須確保其雇用的第三方遵守要求。在與離岸外包商合作時,最容易忽視的領(lǐng)域是訪問控制和網(wǎng)絡(luò)分段(network segmentation)。由于離岸外包商通常都會為多家客戶提供服務(wù),因此企業(yè)必須百分之百確保在外包商的行政體系中有專門負(fù)責(zé)自己數(shù)據(jù)的團(tuán)隊,以保證數(shù)據(jù)的隱私。
在制訂安全控制策略時,企業(yè)必須花時間仔細(xì)評估數(shù)據(jù)的類別及來源。美國何威律師事務(wù)所(Hunton & Williams)的倫敦律師布雷吉特·特雷西(Bridget Treacy)建議客戶采用歐盟的數(shù)據(jù)隱私要求,因為這可算得上是最嚴(yán)格的要求了。美國的企業(yè)可通過選擇安全港協(xié)議(Safe Harbor)來達(dá)到歐盟的要求。
轉(zhuǎn)包商是數(shù)據(jù)隱私和合規(guī)性面臨的又一風(fēng)險。如果你的離岸合作伙伴使用了第三方公司,那你一定要確保該轉(zhuǎn)包商也受到了嚴(yán)格的審核。
技術(shù)控制
國際商業(yè)機(jī)器公司(IBM)數(shù)據(jù)隱私服務(wù)的工程總監(jiān)艾爾·史密斯(Al Smith)表示,企業(yè)最常見的錯誤之一,是從生產(chǎn)系統(tǒng)中拷貝數(shù)據(jù)之后,直接就把它傳送到了產(chǎn)品開發(fā)或質(zhì)量控制等部門,絲毫沒有考慮到接收方是否能達(dá)到處理敏感數(shù)據(jù)的標(biāo)準(zhǔn)。史密斯說,如果不是確有必要使用真實(shí)數(shù)據(jù),那企業(yè)就應(yīng)該使用過濾掉敏感信息的數(shù)據(jù)。這是企業(yè)在離岸外包數(shù)據(jù)時應(yīng)當(dāng)遵守的典型最佳信息安全實(shí)踐之一。
在某些法規(guī)之下,可能會要求訪問控制、日志記錄及加密等附加技術(shù)控制。在采用這些技術(shù)控制之前,應(yīng)當(dāng)先對它們進(jìn)行仔細(xì)的審查。技術(shù)控制應(yīng)當(dāng)圍繞數(shù)據(jù)進(jìn)行應(yīng)用,以提供訪問數(shù)據(jù)的人員記錄,確保數(shù)據(jù)的安全,并對數(shù)據(jù)產(chǎn)生潛在威脅的操作做出報告。
是否需要加密外包數(shù)據(jù)也是企業(yè)應(yīng)當(dāng)考慮的問題之一。企業(yè)需要與外包商討論的主要領(lǐng)域是加密法則、密鑰存儲以及審計跟蹤(audit trail)。在這里我們想告誡企業(yè)一點(diǎn):你一定要對各國的加密法規(guī)有所了解。美國商務(wù)部對加密輸出有所管制,而中國政府在必要時要求能夠?qū)用軘?shù)據(jù)進(jìn)行訪問。
外包商在操作系統(tǒng)、應(yīng)用程序及數(shù)據(jù)庫內(nèi)如何執(zhí)行訪問控制,以及它如何確保這些控制運(yùn)行良好,并在出現(xiàn)人事變動時得到及時更新,這些問題都是企業(yè)要詳細(xì)考察的。目前,外包公司每年的人員變動率都在25%以上,客戶企業(yè)通過評估它們的這一流程,可以了解到一些有用的信息。
如果訪問控制設(shè)計得不夠靈活,不能應(yīng)對必要的業(yè)務(wù)變化,那就可能為企業(yè)帶來非常棘手的問題和負(fù)擔(dān)。此外,企業(yè)還應(yīng)當(dāng)注意,訪問控制應(yīng)當(dāng)由那些不能直接訪問數(shù)據(jù)或系統(tǒng)的團(tuán)隊來進(jìn)行管理。
與這些保護(hù)措施同樣重要的,是基于恰當(dāng)?shù)娜罩居涗浂M(jìn)行的審計跟蹤。支付卡行業(yè)標(biāo)準(zhǔn)以及美國的薩班斯·奧克斯利法案(Sarbanes-Oxley Act)和金融服務(wù)現(xiàn)代化法案(Gramm-Leach-Bliley Act)都有集中化日志的要求。事實(shí)上,任何企業(yè)的信息安全策略都應(yīng)當(dāng)有此要求。對敏感數(shù)據(jù)或系統(tǒng)有影響的操作應(yīng)當(dāng)被記錄在日志中,并集中化地存儲到安全的位置。
由于環(huán)境和策略的不同,達(dá)到上述目標(biāo)的方式有很多,企業(yè)既可選擇用于控制、加密和日志記錄的現(xiàn)貨產(chǎn)品,也可將多種解決方案結(jié)合使用。只要客戶肯買單,外包商通常對任何控制需求都是可以滿足的。最具成本效益的方式,是選擇那些具有標(biāo)準(zhǔn)化的高質(zhì)量基本控制系統(tǒng)的公司。
不管企業(yè)將敏感數(shù)據(jù)儲存在美國、加拿大、中國還是英國,都應(yīng)當(dāng)確保它受到同等程度的保護(hù)和對待。美國零售巨頭TJX公司在本土遭受的數(shù)據(jù)丟失災(zāi)難就告訴我們,無論你把數(shù)據(jù)放在哪里,不管數(shù)據(jù)存放地的相關(guān)法律有多么健全,你都得采用嚴(yán)格的技術(shù)控制來保護(hù)數(shù)據(jù)安全。
