在關於企業信息安全的報告中,專家們都期望著信息安全能夠隨著近幾年來幾項截然不同的技術的不斷發展,而得到進步。這幾項技術所包含的元素毫不相幹,例如,Web應用防火墻,應用程序安全測試解決方案,數據庫活動監測(DAM),數據標記以及身份管理等等。
對於如何整合這些完全不同的技術以及來自於他們的數據就成了壹個關鍵性的需求。根據壹位ESI的壹位分析師的觀點,當前這些互不相幹的數據安全技術,實際上限制了安全分析系統來獲得監控日誌並取得報告,缺乏必要的數據管理,分析以及規劃的能力。而當前確有很多企業采用這些獨立的安全技術,由於很多獨立的產品之間並不能很好的協作,這實際上是對追求完整的企業信息安全體系是壹種阻礙。
而且從另壹方面來講,獲得安全信息並不意味著只是收集安全日誌,妳還需要了解到妳的敏感數據在哪,數據的內容是什麽。在2014年的四月,得克薩斯州審計辦公室曾經發生壹起數據泄露事件,大約350萬人的姓名、社會安全號碼和郵寄地址,另外還有壹些人的出生日期和駕駛執照號碼在網上被公開泄露。正是由於得克薩斯州審計辦公室的壹臺沒有加密的誰都可以訪問的服務器,得克薩斯州三個政府機構的數據庫所收集的敏感信息被泄密了將近整整壹年,這三個政府機構是得克薩斯州教師退休中心、得克薩斯州勞動力委員會和得克薩斯州雇員退休系統。據稱負責把數據發布到網上的幾個員工違反了部門的工作程序,這起泄密事件披露後已被開除。 如果不安裝技術性的監控解決方案來認真執行程序,那麽就沒有太大意義。員工能夠將數據庫信息置於如此不堪壹擊的險境,證明要是整個安全體系的規則沒有采取"強制實施的有效手段",會給企業帶來多大的風險。得克薩斯州因這起泄密事件而面臨兩起集體訴訟,其中壹起要求對該州判以向每個受影響的人賠償1000美元的賠償處罰,考慮到這起事件影響到數百萬人,這筆費用無疑如同天文數字。
因此,壹個真正全面的安全體系,還要考慮到執行程序的員工的角色以及職責。例如,如果某個雇員可以接觸到實際的客戶數據,那麽他會不會利用工作之便取得這些數據,這是壹個不得不考慮的問題。而采用壹套合理的規則就成了防範此類時間發生的關鍵,例如,對那些可以解除到客戶數據的員工強制執行“最低權限”可以有效的防止發生員工數據泄露事件,因為無論是誰,都可能因為貪婪或者其他原因獲得企業的數據。
可以肯定的是,這些數據所能驅動的商業價值是肯定要遠遠超出部署安全體系所花費的成本的。廠商通過分析數據來做出更好的商業決策就是壹個很明顯的證據。就像商業情報提供商可以通過軟件來讓壹家保險公司利用客戶數據來取得更好的決策壹樣,數據安全提供商也可以通過幫助企業保護他們的關鍵性數據來使企業充分利用這些數據做出最有利的決策,從而促進整個企業的發展。