毫無疑問�����,安全問題是數(shù)據(jù)外包中最重要也最棘手的問題之一�����。
文|Adam Ely 譯|董德魯
目前���,各種跡象都表明,全球IT外包趨勢還將持續(xù)升溫���?���!缎畔⒅芸访绹鎸?duì)500名企業(yè)高管的調(diào)研顯示���,2/3的受訪者都在采用離岸外包�����。有了成功的外包經(jīng)驗(yàn)之后��,企業(yè)現(xiàn)在已敢于將比較敏感的IT或業(yè)務(wù)處理工作轉(zhuǎn)移到海外進(jìn)行���。商業(yè)技術(shù)經(jīng)理們最大的顧慮之一是數(shù)據(jù)的安全性���,這里我們就談一談在與離岸合作伙伴加深合作關(guān)系時(shí),有哪些重點(diǎn)的領(lǐng)域需要關(guān)注�����。
首先�,我們要提醒剛開始離岸外包的企業(yè),在數(shù)據(jù)問題上任何時(shí)候都不能放松警惕���。轉(zhuǎn)移到海外的數(shù)據(jù)與企業(yè)自行存儲(chǔ)的數(shù)據(jù)面臨著相同的基本風(fēng)險(xiǎn)��,這包括內(nèi)部盜竊�����、外部入侵�、不慎遺失以及企業(yè)間諜等等��。由于離岸數(shù)據(jù)具有一定的敏感性,而各國在這方面的法律標(biāo)準(zhǔn)有所不同��,因此數(shù)據(jù)在海外丟失所帶來的問題很有可能會(huì)被放大��。
離岸外包帶來的安全顧慮并非完全與所謂的排外情緒有關(guān)��。外包商所在國的與數(shù)據(jù)和知識(shí)產(chǎn)權(quán)相關(guān)的法律很可能和企業(yè)所在國的法律大相徑庭��。例如�����,顧能公司(Gartner)就給各國的數(shù)據(jù)和知識(shí)產(chǎn)權(quán)保護(hù)法進(jìn)行了評(píng)估����,在去年11月該公司公布的一系列報(bào)告中����,印度獲得的評(píng)級(jí)是“良好”,巴西是“一般”��,墨西哥是“優(yōu)秀”�����,而中國則是“較差”。除了法律本身的不同之外����,各國在執(zhí)法程度方面也可能出現(xiàn)很大差距。美亞博國際律師事務(wù)所(Mayer Brown)的律師布拉德·彼得森(Brad Peterson)向我們講述了關(guān)于某家美國公司的故事�����。這家公司在印度為了打擊對(duì)手盜竊知識(shí)產(chǎn)權(quán)的行為���,花費(fèi)了200余萬美元打官司����。最后�,它在所有級(jí)別的法院審判中都贏得了訴訟,但是那家對(duì)手公司卻仍然逍遙法外�,盜來的產(chǎn)權(quán)依舊照用不誤。因此���,無論是在哪個(gè)國家外包數(shù)據(jù)���,企業(yè)都應(yīng)該全盤考慮相應(yīng)的利益和缺點(diǎn)。企業(yè)不僅應(yīng)當(dāng)在外包合同中將安全標(biāo)準(zhǔn)和法律追索等問題寫清楚���,更要在技術(shù)和物理控制等前線陣地上建立堅(jiān)固的防御體系�。
安全認(rèn)證
聲譽(yù)卓著的大型外包商都擁有各種各樣的認(rèn)證(如ISO 27001)向你展示,但這并不意味著你就可以放松警惕���。有時(shí)候���,也許小公司反而能夠提供更專業(yè)和更具針對(duì)性的服務(wù)。
ISO 27001認(rèn)證主要考察的是公司對(duì)信息安全實(shí)踐和控制進(jìn)行的記錄和跟蹤�。企業(yè)不僅應(yīng)當(dāng)參考審核員的結(jié)論,看看自己最看重的某些安全控制是否囊括在認(rèn)證體系之中��,還應(yīng)當(dāng)對(duì)負(fù)責(zé)審核的機(jī)構(gòu)進(jìn)行調(diào)查��,以確保其公正透明�����。此外�,企業(yè)還應(yīng)該了解外包商是否遵循了業(yè)界的最佳實(shí)踐以及企業(yè)自身所在國的法規(guī)條例�。比如說,在醫(yī)療保健方面���,美國有健康保險(xiǎn)可攜性及責(zé)任法(HIPAA)���,在信用卡數(shù)據(jù)方面��,又有支付卡行業(yè)標(biāo)準(zhǔn)(PCI)�����,外包商是否能真正符合這些要求�?
在支付卡行業(yè)標(biāo)準(zhǔn)下��,企業(yè)必須確保其雇用的第三方遵守要求����。在與離岸外包商合作時(shí),最容易忽視的領(lǐng)域是訪問控制和網(wǎng)絡(luò)分段(network segmentation)���。由于離岸外包商通常都會(huì)為多家客戶提供服務(wù)����,因此企業(yè)必須百分之百確保在外包商的行政體系中有專門負(fù)責(zé)自己數(shù)據(jù)的團(tuán)隊(duì)�,以保證數(shù)據(jù)的隱私。
在制訂安全控制策略時(shí)��,企業(yè)必須花時(shí)間仔細(xì)評(píng)估數(shù)據(jù)的類別及來源���。美國何威律師事務(wù)所(Hunton & Williams)的倫敦律師布雷吉特·特雷西(Bridget Treacy)建議客戶采用歐盟的數(shù)據(jù)隱私要求�����,因?yàn)檫@可算得上是最嚴(yán)格的要求了�����。美國的企業(yè)可通過選擇安全港協(xié)議(Safe Harbor)來達(dá)到歐盟的要求��。
轉(zhuǎn)包商是數(shù)據(jù)隱私和合規(guī)性面臨的又一風(fēng)險(xiǎn)�。如果你的離岸合作伙伴使用了第三方公司,那你一定要確保該轉(zhuǎn)包商也受到了嚴(yán)格的審核����。
技術(shù)控制
國際商業(yè)機(jī)器公司(IBM)數(shù)據(jù)隱私服務(wù)的工程總監(jiān)艾爾·史密斯(Al Smith)表示�����,企業(yè)最常見的錯(cuò)誤之一��,是從生產(chǎn)系統(tǒng)中拷貝數(shù)據(jù)之后�,直接就把它傳送到了產(chǎn)品開發(fā)或質(zhì)量控制等部門,絲毫沒有考慮到接收方是否能達(dá)到處理敏感數(shù)據(jù)的標(biāo)準(zhǔn)���。史密斯說���,如果不是確有必要使用真實(shí)數(shù)據(jù)�����,那企業(yè)就應(yīng)該使用過濾掉敏感信息的數(shù)據(jù)����。這是企業(yè)在離岸外包數(shù)據(jù)時(shí)應(yīng)當(dāng)遵守的典型最佳信息安全實(shí)踐之一�。
在某些法規(guī)之下,可能會(huì)要求訪問控制��、日志記錄及加密等附加技術(shù)控制�。在采用這些技術(shù)控制之前,應(yīng)當(dāng)先對(duì)它們進(jìn)行仔細(xì)的審查�。技術(shù)控制應(yīng)當(dāng)圍繞數(shù)據(jù)進(jìn)行應(yīng)用,以提供訪問數(shù)據(jù)的人員記錄�,確保數(shù)據(jù)的安全,并對(duì)數(shù)據(jù)產(chǎn)生潛在威脅的操作做出報(bào)告�。
是否需要加密外包數(shù)據(jù)也是企業(yè)應(yīng)當(dāng)考慮的問題之一。企業(yè)需要與外包商討論的主要領(lǐng)域是加密法則���、密鑰存儲(chǔ)以及審計(jì)跟蹤(audit trail)��。在這里我們想告誡企業(yè)一點(diǎn):你一定要對(duì)各國的加密法規(guī)有所了解�����。美國商務(wù)部對(duì)加密輸出有所管制�����,而中國政府在必要時(shí)要求能夠?qū)用軘?shù)據(jù)進(jìn)行訪問��。
外包商在操作系統(tǒng)���、應(yīng)用程序及數(shù)據(jù)庫內(nèi)如何執(zhí)行訪問控制�,以及它如何確保這些控制運(yùn)行良好����,并在出現(xiàn)人事變動(dòng)時(shí)得到及時(shí)更新,這些問題都是企業(yè)要詳細(xì)考察的���。目前,外包公司每年的人員變動(dòng)率都在25%以上����,客戶企業(yè)通過評(píng)估它們的這一流程���,可以了解到一些有用的信息。
如果訪問控制設(shè)計(jì)得不夠靈活�����,不能應(yīng)對(duì)必要的業(yè)務(wù)變化���,那就可能為企業(yè)帶來非常棘手的問題和負(fù)擔(dān)��。此外��,企業(yè)還應(yīng)當(dāng)注意����,訪問控制應(yīng)當(dāng)由那些不能直接訪問數(shù)據(jù)或系統(tǒng)的團(tuán)隊(duì)來進(jìn)行管理����。
與這些保護(hù)措施同樣重要的,是基于恰當(dāng)?shù)娜罩居涗浂M(jìn)行的審計(jì)跟蹤��。支付卡行業(yè)標(biāo)準(zhǔn)以及美國的薩班斯·奧克斯利法案(Sarbanes-Oxley Act)和金融服務(wù)現(xiàn)代化法案(Gramm-Leach-Bliley Act)都有集中化日志的要求��。事實(shí)上,任何企業(yè)的信息安全策略都應(yīng)當(dāng)有此要求�。對(duì)敏感數(shù)據(jù)或系統(tǒng)有影響的操作應(yīng)當(dāng)被記錄在日志中,并集中化地存儲(chǔ)到安全的位置�。
由于環(huán)境和策略的不同,達(dá)到上述目標(biāo)的方式有很多��,企業(yè)既可選擇用于控制����、加密和日志記錄的現(xiàn)貨產(chǎn)品,也可將多種解決方案結(jié)合使用��。只要客戶肯買單����,外包商通常對(duì)任何控制需求都是可以滿足的。最具成本效益的方式����,是選擇那些具有標(biāo)準(zhǔn)化的高質(zhì)量基本控制系統(tǒng)的公司。
不管企業(yè)將敏感數(shù)據(jù)儲(chǔ)存在美國��、加拿大�、中國還是英國,都應(yīng)當(dāng)確保它受到同等程度的保護(hù)和對(duì)待���。美國零售巨頭TJX公司在本土遭受的數(shù)據(jù)丟失災(zāi)難就告訴我們��,無論你把數(shù)據(jù)放在哪里����,不管數(shù)據(jù)存放地的相關(guān)法律有多么健全����,你都得采用嚴(yán)格的技術(shù)控制來保護(hù)數(shù)據(jù)安全。
