問:在我們的醫療行業中,我們的用戶(包括醫生)已經開始使用面向消費者的基于云計算的文件備份服務。不僅備份文件,還可以進行協同合作。最常用的服務似乎能為數據的傳輸和保持提供優良的加密,但卻存在弱口令的問題。我們怎樣從政策的觀點來看待這類服務?怎么才能找到使用這些服務的人?如何確保用戶不會在文件倉庫中保存敏感數據?
答:目前,監督措施尚不到位,局面看起來是一片混亂。幸運的是,員工不被允許下載數據或安裝任何軟件,那為什么要讓他們使用未經批準的服務?
首先應該做的事是控制員工對各類云計算服務的使用。如果你在一個醫療行業中工作,在處理敏感數據時,你不能冒險違反規定,如HIPPA。這樣才能降低潛在的罰款和聲譽損害。
對云計算進行管理涉及建立和執行可以控制云計算服務使用的政策。云計算服務應被當做普通的應用程序。這意味著你的云計算政策應聲明,在某一云計算服務被批準進行商業化應用以及出具風險評估報告之前,任何人不得使用它。這樣安全團隊才能得到控制,更好地防止敏感數據的泄露或不正當使用。
對于已有人使用云計算服務的情況,我們可以從對員工進行英特網訪問調查開始。問問他們使用的是哪種云服務、用來做什么、為什么要使用該服務以及使用的頻率如何。還應該問他們最喜歡的云服務是哪種以及為什么,這點也很重要。在進行調查的同時,分析網絡日志,建立實際的云服務使用情況的記錄。有了這兩份報告,你應該能夠分析出云服務的使用方式和目的。
下一步是進行風險評估,看看最流行的云服務是否能夠合理使用,以及如何能夠安全地使用。這涉及查看云服務提供商的服務協議、評估他們的安全政策的設計水平和嚴密性。鑒于你工作在醫療行業中,那么任何具有弱口令安全問題的服務都應該被排除在外。
如果高級管理人員決定,員工們可以受益于使用某些云服務,那么你需要制定使用政策,明確地聲明員工們可以做什么、不能做什么以及他們能夠在云中使用哪些數據。所有員工都需要安全意識訓練,確保他們能夠意識到新的規則和責任。
為支持這個新的政策,我強烈建議部署一個數據丟失保護(data loss prevention,DLP)系統,檢測和阻止對敏感數據進行未授權的使用,防止在你的網絡之外傳輸敏感數據。在保護電子化病人健康信息(Electronic Patient Health Information,ePHI)方面,有幾個DLP產品比較適用,如Websense公司的Data Security Suite和趨勢科技公司的Enterprise Security。在員工知道數據使用被監控、任何違反規定的行為都將被查出的情況下,你的云服務使用政策會更加有效。
也許上述這些聽起來好像我在反對云計算的使用,這當然不是真的。大型的云服務提供商擁有高度分布式的、健壯的系統,通常能夠比許多公司提供更好的安全性和災難恢復能力。但正如其他IT服務一樣,它需要在嚴格且強制執行的安全政策的控制下使用。
京公網安備 11010502049343號