从初期的数据保护法律颁布以来:包括911事件过后,于2002年颁布的《萨班斯·奥克斯利法案(Sarbanes-Oxley Act,SOX)》以及英国和欧盟的各种法律和指导方针,合规性一直是IT业界的一个噩梦。在许多情况下,其被认为是在企业内部能够与诸多事务都能够或多或少的扯上关系,包括IT和金融财务、安全和网络、技术和管理,如此诸多繁杂的事务足以使任何IT专业人士吓出了一身冷汗。
例如,如此众多的合规性标准包括支付卡行业数据安全标准(Payment Card Industry Data Security Standard, PCI DSS)要求企业实施实时的网络监测,确保其机密的企业资产处于高安全水平,并要求审计人员提供符合审计要求的网络合规审计报告。
在英国米尔顿·凯恩斯(Milton Keynes)地区委员会IT团队最近的一次会议上,一个被反复拿出来讨论的议题便是安全合规性的问题。地区委员会显然会定期的受到政局改选的影响,但在最近的大选结果公布之前,这些变化所带来的潜在影响则是未知的,而安全合规性也会受到政治局势的影响。那么,谁应该为此负责呢?
“这对组织机构而言无疑是一个相当巨大的问题。”米尔顿·凯恩斯地区委员会首席IT工程师马丁·希顿说。
“从某种意义来说很容易——每一个人都在努力降低运营成本,但是现在我们已经走到一个十字路口:鉴于成本是如此重要,就要搞清楚究竟应该由谁来把握和控制这一战略性问题?我是否愿意为遵守这些合规安全性付出更多成本代价来换取更好一点的IT访问体验,并使用IT服务以便能够有足够的灵活性随需求进行相应的改变?”
希顿还指出了该委员会曾遭遇过的PSN合规性方面的问题。为了连接到新的公共服务网络(PSN),地方议会以及其他政府部门必须确保他们的安全连接符合由英国内阁所颁布设置的代码连接规定。
欧盟法规
但企业或组织机构的IT部门需要处理和应对的远不仅仅只是英国政府机构所颁布的各种合规性监管规定,他们还必须处理由欧盟组织所发布的各种规定。欧盟最新的数据保护法规也将带来一系列的问题,根据一家专注于云安全的企业Skyhigh Networks公司的欧洲发言人Nigel Hawthorn介绍说。
Hawthorn表示说,欧盟最新的数据保护法规将对所有曾收集了欧盟公民和居民数据的企业产生影响,而如果一旦违反,其严厉的制裁使得用户有权对企业丢失消费者私人数据提起赔偿,包括集体诉讼,还可能使企业面临被处于高达全球收入5%的违规罚款。
在这种情况下,相关的责任也延伸到了要求数据控制者们对于安全合规性的严格遵守——内容的所有者和数据的处理者的:如云供应商,对于数据保护也负有较重的责任。Hawthorn认为,相关的监管规定也充分考虑到了利用技术手段可以帮助保持数据的安全。并指出,如果数据被特别标记或“化名”是为满足个人对于数据隐私的合理期待。
“这对企业来说是好消息,因为它允许企业在将数据上传到云之前对其实施加密或特别标记,假设他们把加密密钥保管在企业内部的话,那么,即使数据丢失,也不会酿成太大的灾难。”他说。
另一个大问题是,当涉及到好几方都受到影响时,究竟谁应该担负起责任?例如,Hawthorn就指出了最近涉及到服务供应商TalkTalk公司的数据泄露事件,在该事件中,因为供应商因的数据泄露导致TalkTalk的客户数据被曝光,迫使该电信公司采取法律行动。
但这种情况在现如今可谓司空见惯了。这迫使企业的IT部门需要努力了解第三方供应商必须遵守哪些安全和合规标准,以及相关的数据最终去了哪里。Hawthorn说,在TalkTalk公司的案例中,其供应商有权限访问其客户的个人信息,但TalkTalk并不知道这些客户数据信息已经被提取,直到他们的客户反馈说总是收到电话骚扰和试图进行欺诈交易。
云计算和外包
一般而言,云计算和外包已经为企业遵守安全合规性带来了越来越多的压力。英国解决方案销售商CA Technologies的高级总监Paul Briault指出,软件即服务(SaaS)应用程序所涉及到得企业的敏感或机密数据可以说是另一大主要问题。
据Briault看来,SaaS或应用程序外包提供商通常未能很好的解决关于企业客户的机密数据或私有数据所涉及到的相关法律风险等重要问题:数据存储在何处,或者其是如何传播的。这可能会导致危险的合规性缺口和潜在的法律成本。在这种情况下,要求第三方和最终用户要敢于大胆的向他们的云服务提供商提问棘手的问题,以解决遵守合规性和安全问题。
“一个很好的起点将包括提问了解:谁有权访问数据和平台,数据中心的具体地理位置,该企业需要了解任何具体国家的相关立法规定,以及一旦数据泄露问题发生,该机构需要遵守的任何具有法律约束力的规定。”Briault说。
SolarWinds是一家具有网络管理权限的软件公司,但该公司现在越来越注重合规性。SolarWinds公司的安全主管Mav Turner说,他们现在所面临的不断增加的问题,所有不同的数据源整合在一起的合规性。
“对于数据信息有很大的需求,而性能数据加上安全性,无论其是防火墙的日志,或是来自Apache服务器或任何其他来源的数据,企业均需要将这些数据通过入侵检测(IDS)和入侵防御(IPS)系统将他们整合在一起,关联数据寻找漏洞,无论其是在Web服务器或其他地方。”他说。
Turner补充说,由于需要与其他终端保护系统、服务器、和任何运行系统日志的设备连接,整合仅仅只是起点。然而,他认为,好消息是,很多人不只是简单的找到“勾选框”了,他们也开始明白理解需求的严重性,他描述说“如果我要投资增加安全性,那么这不只是让企业内部管理团队运行一个报告”。换句话说,这其中既有业务责任也会有技术责任。
“遵守法规是没有恶意的。我们的目标不是创造难以管理的开销,但企业必须重新优化,并确保相关的资源和时间用得其所,因为这不再是一个选项,“Turner说。
合规性准则指南
Good Practice Guide (GPG) 13是另一项英国的长期合规性指南,同样为企业的IT部门带来了大量的工作,根据SolarWinds的经销商Kenson公司的Glen Kershaw介绍:GPG 13是重点关注保护监测,包括IDS和IPS,以及日志和日志分析的政策。Kershaw声称,40%的客户正在寻求探索他们的合规性战略的下一个步骤,无论是涉及风险水平和管理水平。
“我们有很多客户要求我们为GPG 13提供解决方案,以方便他们能够安装软件和继续发展。”他说。但他认为,更重要的是要建立一个专门处理安全性的工作团队。
“我不相信单独由一个人来负责是可能的。企业有专门的IT部门,那么其他服务于客户的安全团队则取决于公司的规模,也许对中小企业部门而言会依赖于软件;而对于那些高端企业则依赖于特定的个人。”Kershaw说。
对于监测现有准则在细节水平方面的日益提高,并注重实时分析,也是另一个消耗IT时间的重要方面。用来测试漏洞和测量合规性的典型的方法是使用漏洞扫描,安全合规性解决方案提供商New Net Technologies公司的首席技术官Mark Kedgley说。
但是,他说,有两个问题的方法:首先,扫描只是合规性的快照,并不会被检测到的扫描之间的,使系统容易受到攻击,直到下一次计划的扫描。另一个主要问题是,一台扫描仪是盲目的初始威胁(zero-day threats),并没有提供任何文件完整性监控,以检测违规活动。Kedgley认为,不停的文件完整性监控是提供持续的合规性评估和实时检测违约的唯一办法。
例如,BCH数字化,交互式语音应答(IVR)呼叫管理服务供应商BCH Digital公司,就需要确保其电话卡支付业务的合规性。
BCH Digital公司的一名技术经理克里斯·约翰逊说:“PCI合规性要求企业必须确保对各种文件的跟踪和系统的监控到位。而在寻找功能全面、易于使用、且可以很容易地集成到我们的系统的跟踪软件以帮助我们实现PCI合规性方面,我们面对的是一个难以逾越的障碍。”
在试用了几种不同的软件解决方案之后,BCH Digital公司选择采用了New Net Technologies的变化跟踪解决方案(Change Tracker solution)。这里的关键是,合规性跟踪不仅仅只是一个“必须有”的标记复选框,而是实际上有助于企业的业务拓展。
“展望未来,我们相信,我们将继续通过PCI-DSS审核,并继续保持兼容。”约翰逊说。“这是我们保持客户和业务持续增长的一个关键组成部分。”
可以肯定的是,遵守合规性和相关准则指南不会简单地消失,反而还会将进一步优化和调整。
然而,同样明显的是,这对于软件企业是一个巨大的市场机会:越来越多的解决方案以及相关的专业知识迎来市场机遇将成为可能。同时,现有的解决方案将会被优化改进。至于企业IT部门,他们会越来越需要保持与企业其他如行政管理,安全,金融财务等部门紧密合作。