在大陆航空公司(Continental Airlines)首席信息安全官蒂姆•斯坦利(Tim Stanley)的日常工作中,数据映射已不仅仅是一个转瞬即逝的想法。事实上,这是一项使命。斯坦利认为,自从我们进入了一个数字社会,我们就在数据方面陷入了一个非常深的洞:数据太多了,却没有逻辑系统来组织它们。
斯坦利经常向安全专业人士做报告,阐述这个困境。目前,没有一个产品或系统真正解决如何分类、管理和组织数据的问题。这需要在野兔子(他的术语)繁殖失控到无法回头之前尽快加以补救。
在这里,Stanley阐述了数据映射的必要性以及如何处理这项任务。
CSO:您在演讲中提到了数据映射的过程,称之为“驯化野兔”。你这话是什么意思?
蒂姆·斯坦利,大陆集团首席信息官:数据被创建,或者你从某人那里收到了一个不错的礼物。你祈祷它在某一时刻死去,但在这期间它会像野兔子一样繁殖。我不会停止的。在这个世界上没有人可以。然而,如果我能驯养那只野兔子,我就会处于一个更好的位置。我驯化它的方式就是管理它,这是我们(集体)现在没有做的。
我在演讲中使用了一系列的图片是40年代和50年代的。那时还不存在IT。所以我们看看他们是如何管理他们认为的大量数据的。我有一张50年代退伍军人事务部档案室的照片。房间里有一排又一排的文件柜。我告诉人们:“看看这张照片,然后告诉我关于这些数据你能做些什么。”他们通常看起来很困惑,所以让他们看看一个文件柜,告诉我他们能说些什么。”他们会经常说:“上面有一个很大的数字。”我说:“没错。”
文件柜上有一个数字,每个抽屉上都有标签,告诉您文件柜的内容被索引了。有些人不一定知道这些文件的具体内容,但他们对这些文件有足够的了解,可以告诉你它们需要放在哪个抽屉里,需要放在哪个柜子里,文件柜在哪里。
这张照片上还有另一个标志,上面写着“绝对禁止入内,见信息员”,这告诉你另外两件事:文件有访问控制,有人负责管理这些数据。这是在没有IT的时候,但我们对数据进行了索引,负责照料和喂养数据,你可以找出数据的所有者是谁,并可以实现数据所有者想要的任何访问限制。他们遵守当时所有的联邦法规。我们今天都做不到。
所以我们没有取得进展。相反,我们已经失去了我们过去所知道的关于管理数据的知识。我的建议是,我们开始实现我们以前所知道的管理数据的方法。
这是主要的信息吗?我们需要一个像50年前那样的系统?你是在呼吁更多的产品,更多的关注来完成这个问题吗?
对所有人来说,答案是肯定的。需要有产品来帮助我们做到这一点。现在我们进退两难,因为我们有这么多的数据。当你思考这个问题时,一个家庭用户拥有tb级数据的概念本身就是令人难以置信的。他们没有办法正确管理这么多数据。你如何确定所有权,按类别分类,分类哪些是机密,制定规则?这样做的工具根本不存在。过程是存在的。我们所需要做的就是回头看看我们过去做了什么,并找到一个IT解决方案来实现这些过程和流程。
我们从哪里开始?
找出谁拥有这些数据是我们在处理堆积如山的数据时需要做的最重要的事情。第二是让他们知道他们将对自己的数据负责。第三,确保他们拥有管理数据的工具。
顺便提一下,在您试图用“该公司拥有数据”来回答第一个问题之前,让我先说,该公司可能对数据负责,但它不能成为所有者,因为该公司没有能力做出授权决策。
给我举个例子,在你的工作中,当前的数据管理状态是如何导致问题的?
我最喜欢看的是我所谓的隐私相关数据;特别是马萨诸塞州的新法律或者是新的hipaa和HITECH规则的出台。据我所知,新的医保法案可能也会影响到我们。让我们看看一些简单的东西,如社会安全号码,因为它将在家庭系统和公司系统。首先,谁应该是它的所有者?它是分配给谁的个人吗?还是它所在文件的所有者?这是一个需要做出的决定。
就当是文件的问题吧。一个文件可能包含成百上千的社会安全号码。那个人需要说"这是你的文件,你要对它负责"但如果他们没有一个工具表明他们知道规则是什么;如果它必须加密,如果它出去,或者如果它只允许特定的人访问。这些工具并不存在来管理这些数据。
这将如何影响安全?
假设我们达到了这一点,数据现在被拥有了,所有者有能力控制谁能看到它;可以复制,删除,修改的人。作为一名安全专家,我的工作不再是救火。我只需要找到数据的所有者并问他们:“您希望对这些数据应用哪些规则?”然后我执行这些规则并验证这些规则是否被遵守。如果他们不遵守,我可以采取行动。
但作为数据管理方面的安全人员,我的工作应该是实施和监控规则。我宁愿成为业务部门值得信赖的合作伙伴,也不愿成为一个不断说“不”的“网络警察”。除了监管要求之外,如何管理数据不是我的决定;它是数据所有者。但它被扔给了安全人员,因为我们是最终执行合规规则的人,我们是必须追踪法医细节的人。
我更愿意让数据所有者制定如何处理数据的规则,实现监控规则所需的工具,并提供遵守规则的报告。数据所有者的责任是数据安全中缺失的关键部分之一。
这篇题为《数据映射:驯化野兔》的文章最初是由方案 .