如今,数据泄露事件正变得越来越普遍。据小道消息称,近年公开披露的几千起数据泄露事件中,失窃的数据记录达几百亿条之多。对此,昆明亭长朗然科技有限公司网络安全研究员董志军表示:实际数字可能更高,因为有许多数据泄露事件不被人知,也有很多从未被公开报告过,可以说,公开披露的只是冰山一角。尽管如此,如果按一条记录10块钱计算,数据失窃的直接经济价值就可达几千亿,也就是一起数据泄露的直接损失可高达亿元之高。
防范数据泄露至关重要,当然数据安全面临着很多威胁,也有很多可以采取的防范措施。通常,较为人们所熟知的,包括使用访问控制、加密等技术措施来阻止网络犯罪分子的数据盗窃企图。在管控方面,不少主权国家都纷纷出台数据保护相关的法规,包括人们所熟悉的通用数据保护条例(欧盟)、数据安全法、个人信息保护法等等,其中提出很多数据保护相关的要求,包括对数据进行分类分级,然后按照不同安全级别的数据,提出对应的保护要求,比如收集、存储、传输、分享、删除等数据处理方面的要求。
防止数据泄露的一项管理措施受到较少关注,就是利用“职责分离”策略。“职责分离”一词源自西方管理精要 Separation of Duties,其核心意思很简单——“分权”,该思想及实践对保护数据的企业机构非常重要,为什么这么说呢?如果从政治层面讲,集权缺乏监督制衡,容易导致内部腐败。那么从数据安全治理方面讲,缺乏“分权”的直接后果就是容易出现“内鬼”盗窃。当然,对于数据安全以及更大范畴意义的信息安全及业务安全来讲,“职责分离”还有其他方面的考量因素。
职责分离背后的逻辑是,不允许一个人执行所有的步骤,使其难以单独地成功完成关键任务的所有环节。这在如银行等金融交易中是非常成熟的日常实践,发起交易的人不应该同时也是批准交易的人。在IT界也流行一句话:开发岗不该同时担任运维岗。
此外,统计称至少45%的数据泄露源自内部,或者有内部人员共同参与,因此职责分离措施非常重要。通过确保不同的人负责流程的不同方面,职责分离使某人更难在不被发现的情况下实施欺诈或犯错。
在很多组织机构或作业流程中,职责分离是通过基于角色或岗位的访问控制来实现的,这将用户限制为只执行适合其角色或岗位的任务。例如,收银员可能只能发起交易,而经理则能够批准它们。职责分离是一项重要的安全措施,有助于提高组织流程的准确性和完整性。国内有一些上市公司,在治理规则的要求下,创建了貌似的职责分离,但是只停留在表面文章,内部实则是某些高管人员贪恋集权,为此搞了一个糊弄外部审计的小圈子,使内部亲信人员担任不同的角色岗位。这是非常好笑的做法,他们要么愚蠢要么短视,根本不懂职责分离的好处和要义。
话说回来,在工作场所使用职责分离,可以帮助防止数据泄露和欺诈,确保不同的人员只对流程的某个方面负责,某些人员更难在不被发现的情况下进行欺诈或者犯下错误。欺诈可能有许多不同的表现方式,比如员工可能会故意窃取和出售数据,在数据就是金钱的年代,这样做无疑会掏空公司并使公司面临风险。对数字时代的组织机构来讲,内部蓄意进行的数据泄露危害巨大,这就是人们常说的,内患的破坏力更大,内部威胁强于外部威胁。
从效率方面讲,职责分离的重要好处是它可以帮助提高效率。有人可能对此表示异议,流程的管控点多了,参与人多了,不是效率更低嘛?其实换个角度想,当不同的人员负责不同的任务时,他们可以专注于这些任务并变得更有效率,这样可以导致组织流程效率的整体改进,更重要的是能够帮助减轻数据泄露的风险。从责任方面讲,当不同的人员负责流程的不同部分时,更容易确定谁对哪些错误或问题负责。这样可以提高问责制并更好地建立和改进组织的流程化管理。在积极性和生产力方面,当员工们对自己的工作负责并且认为其工作对组织机构至关重要时,他们更有可能受到激励并保持积极的态度。
让我们回归安全话题,职责分离可以帮助在工作场所营造一种安全文化,通过确保没有人对流程拥有至高无上的控制权,职责分离有助于创造一个人们不太可能承担重大错误或事故的风险的环境。承担不同流程的员工们交叉校验、互相监督,欺诈和错误能够被及时发现、预防和制止。
该怎么在数据安全方面实施岗位职责分离呢?首先要理出关键流程,通常包括涉及金融交易或敏感数据的流程。一旦确定了这些重要流程,就需要确定需要分离哪些任务以及哪些角色或岗位的人员负责哪项工作,列出一个矩阵表。接下来,必须实施必要的控制以确保岗位分离职责,这可能涉及实施基于角色的访问控制或创建新的策略和程序。最后,还需要对员工进行职责分离的培训,并确保他们了解如何遵守这些要求。当然,要保证职责分离工作的成效,还需要不断进行检查、审视和优化改进。
总的来讲,职责分离是一种安全实践,通过确保没有人对整体流程拥有太多控制权,对于防止数据泄露和内部欺诈至关重要。对于国内很多机构来讲,实施起来可能有点挑战,既得利益者可能不愿意“放权”,但是值得付出努力,特别在有效沟通后,能够获得理解。如今,基于内部人员的数据泄露风险剧增,职责分离实践可以帮助防止和降低这种风险。通过采取一些专业的步骤,可以在防止错误和内部欺诈的同时,提高组织机构内部的工作效率和责任感。
昆明亭长朗然科技有限公司推出了大量的安全、保密与合规意识宣传教育内容,包括与数据安全、职责分离相关的动画视频、平面图片和电子课件资源,其中也有关于信息安全、知识产权与隐私保护相关的法规科普,以及员工们需知的数据安全及保密知识,欢迎有兴趣的客户及行业合作伙伴联系我们,预览作品以及洽谈采购合作。
