毫无疑问,安全问题是数据外包中最重要也最棘手的问题之一。
文|Adam Ely 译|董德鲁
目前,各种迹象都表明,全球IT外包趋势还将持续升温。《信息周刊》美国版对500名企业高管的调研显示,2/3的受访者都在采用离岸外包。有了成功的外包经验之后,企业现在已敢于将比较敏感的IT或业务处理工作转移到海外进行。商业技术经理们最大的顾虑之一是数据的安全性,这里我们就谈一谈在与离岸合作伙伴加深合作关系时,有哪些重点的领域需要关注。
首先,我们要提醒刚开始离岸外包的企业,在数据问题上任何时候都不能放松警惕。转移到海外的数据与企业自行存储的数据面临着相同的基本风险,这包括内部盗窃、外部入侵、不慎遗失以及企业间谍等等。由于离岸数据具有一定的敏感性,而各国在这方面的法律标准有所不同,因此数据在海外丢失所带来的问题很有可能会被放大。
离岸外包带来的安全顾虑并非完全与所谓的排外情绪有关。外包商所在国的与数据和知识产权相关的法律很可能和企业所在国的法律大相径庭。例如,顾能公司(Gartner)就给各国的数据和知识产权保护法进行了评估,在去年11月该公司公布的一系列报告中,印度获得的评级是“良好”,巴西是“一般”,墨西哥是“优秀”,而中国则是“较差”。除了法律本身的不同之外,各国在执法程度方面也可能出现很大差距。美亚博国际律师事务所(Mayer Brown)的律师布拉德·彼得森(Brad Peterson)向我们讲述了关于某家美国公司的故事。这家公司在印度为了打击对手盗窃知识产权的行为,花费了200余万美元打官司。最后,它在所有级别的法院审判中都赢得了诉讼,但是那家对手公司却仍然逍遥法外,盗来的产权依旧照用不误。因此,无论是在哪个国家外包数据,企业都应该全盘考虑相应的利益和缺点。企业不仅应当在外包合同中将安全标准和法律追索等问题写清楚,更要在技术和物理控制等前线阵地上建立坚固的防御体系。
安全认证
声誉卓著的大型外包商都拥有各种各样的认证(如ISO 27001)向你展示,但这并不意味着你就可以放松警惕。有时候,也许小公司反而能够提供更专业和更具针对性的服务。
ISO 27001认证主要考察的是公司对信息安全实践和控制进行的记录和跟踪。企业不仅应当参考审核员的结论,看看自己最看重的某些安全控制是否囊括在认证体系之中,还应当对负责审核的机构进行调查,以确保其公正透明。此外,企业还应该了解外包商是否遵循了业界的最佳实践以及企业自身所在国的法规条例。比如说,在医疗保健方面,美国有健康保险可携性及责任法(HIPAA),在信用卡数据方面,又有支付卡行业标准(PCI),外包商是否能真正符合这些要求?
在支付卡行业标准下,企业必须确保其雇用的第三方遵守要求。在与离岸外包商合作时,最容易忽视的领域是访问控制和网络分段(network segmentation)。由于离岸外包商通常都会为多家客户提供服务,因此企业必须百分之百确保在外包商的行政体系中有专门负责自己数据的团队,以保证数据的隐私。
在制订安全控制策略时,企业必须花时间仔细评估数据的类别及来源。美国何威律师事务所(Hunton & Williams)的伦敦律师布雷吉特·特雷西(Bridget Treacy)建议客户采用欧盟的数据隐私要求,因为这可算得上是最严格的要求了。美国的企业可通过选择安全港协议(Safe Harbor)来达到欧盟的要求。
转包商是数据隐私和合规性面临的又一风险。如果你的离岸合作伙伴使用了第三方公司,那你一定要确保该转包商也受到了严格的审核。
技术控制
国际商业机器公司(IBM)数据隐私服务的工程总监艾尔·史密斯(Al Smith)表示,企业最常见的错误之一,是从生产系统中拷贝数据之后,直接就把它传送到了产品开发或质量控制等部门,丝毫没有考虑到接收方是否能达到处理敏感数据的标准。史密斯说,如果不是确有必要使用真实数据,那企业就应该使用过滤掉敏感信息的数据。这是企业在离岸外包数据时应当遵守的典型最佳信息安全实践之一。
在某些法规之下,可能会要求访问控制、日志记录及加密等附加技术控制。在采用这些技术控制之前,应当先对它们进行仔细的审查。技术控制应当围绕数据进行应用,以提供访问数据的人员记录,确保数据的安全,并对数据产生潜在威胁的操作做出报告。
是否需要加密外包数据也是企业应当考虑的问题之一。企业需要与外包商讨论的主要领域是加密法则、密钥存储以及审计跟踪(audit trail)。在这里我们想告诫企业一点:你一定要对各国的加密法规有所了解。美国商务部对加密输出有所管制,而中国政府在必要时要求能够对加密数据进行访问。
外包商在操作系统、应用程序及数据库内如何执行访问控制,以及它如何确保这些控制运行良好,并在出现人事变动时得到及时更新,这些问题都是企业要详细考察的。目前,外包公司每年的人员变动率都在25%以上,客户企业通过评估它们的这一流程,可以了解到一些有用的信息。
如果访问控制设计得不够灵活,不能应对必要的业务变化,那就可能为企业带来非常棘手的问题和负担。此外,企业还应当注意,访问控制应当由那些不能直接访问数据或系统的团队来进行管理。
与这些保护措施同样重要的,是基于恰当的日志记录而进行的审计跟踪。支付卡行业标准以及美国的萨班斯·奥克斯利法案(Sarbanes-Oxley Act)和金融服务现代化法案(Gramm-Leach-Bliley Act)都有集中化日志的要求。事实上,任何企业的信息安全策略都应当有此要求。对敏感数据或系统有影响的操作应当被记录在日志中,并集中化地存储到安全的位置。
由于环境和策略的不同,达到上述目标的方式有很多,企业既可选择用于控制、加密和日志记录的现货产品,也可将多种解决方案结合使用。只要客户肯买单,外包商通常对任何控制需求都是可以满足的。最具成本效益的方式,是选择那些具有标准化的高质量基本控制系统的公司。
不管企业将敏感数据储存在美国、加拿大、中国还是英国,都应当确保它受到同等程度的保护和对待。美国零售巨头TJX公司在本土遭受的数据丢失灾难就告诉我们,无论你把数据放在哪里,不管数据存放地的相关法律有多么健全,你都得采用严格的技术控制来保护数据安全。