发表于:2016年3月29日
作者: Evelyn de Souza
云技术安全从业者及审计人员
尽管人们在重要工作中越来越多地使用云技术,但却很少听闻有数据泄露的事件发生。随着云技术逐渐成为移动设备、 物联网(IoT)和其他日常功能的支撑,我们能够准确预测黑客们把目光转向了哪些加密的个人数据。
今年的数据泄露事件最大的特点就是大量暴露了个人信息。由于物联网设备引入的信息流较当前的数字经济而言更为私人化,而这些信息流提供了多种通向云端的途径 ,于是使得云端逐渐成为盗取数据的最佳目标。
我们是否过于信任云技术了?
尽管云技术被看作是与内部部署截然不同的模式,但有很多通用的安全标准和框架。与企业审计相比,云端的审计工作与工具仍不成熟,而且,缺乏对整个堆栈的可视性仍然是大多数云技术使用企业的挑战。此外,很多云技术供应商只顾加固“堡垒”,却忽视了在云端上交易和转移的不同类型的数据,因此对他们来说,“空中楼阁”的症状依然存在。
合规性并不等同于可信度
当今云技术供应商和使用云技术的企业需要遵守很多标准与法规,但这些标准与法规却过多地关注处理和储存信息的能力——它们不能保证数据在云端的安全性和可信度。信任才是关键因素。只贴上警示标签并不能提高安全性——就算车里写着请系好安全带,您仍然有可能受伤——合规证书是不能保护数据的。合规与证书只能说明这个供应商,消费者,或者二者都有一个掌控良好的环境。而关注点更应放在数据本身、以及数据的访问和使用上。
抓主要矛盾,树立消费者信任度
云技术供应商和使用云技术的企业可以采取更强硬的数据保护措施,以适应当今的企业和个人使用环境。安全审计人员要用简明的语言来解释数据保护事项,让开发人员和企业领导知道哪些数据需要着重保护。是靠这一点,而不是靠建立安全和合规的基础架构来维持长久的客户信任,以及消除未来可能的数据泄露。
考虑到个人和企业的未来将呈现高度的数字化,数据分类方案则应基于各种相关措施,以及不同级别的个人数据及敏感信息。普遍使用的方案是不存在的,要确保制定可靠的战略还需要整个行业的努力。如果现在不关注这个方向,那么在不久的将来,我们将面临更多恶劣的数据泄露事件。