如果你花1.99美元为你的Kindle下载一本电子书,它会受到DRM的保护,阻止你分享内容,如果亚马逊想要,它可以撤销该文档,这样你就不能再阅读它了。贵公司目前的价格表也受到了同样的保护吗?
信息权限管理(通常被称为企业DRM数字版权管理的简称),你可以确保价格表只是与客户共享,阻止他们发送给你的竞争对手,并自动阻塞在季度末当你推出新的价格。或者您可以在投标过程中与供应链中的几个供应商共享规范,然后在合同完成后阻止除中标供应商以外的所有供应商打开文档。你可以通过让旧的计划在更新时失效来确保承包商不会从过期的计划开始工作。跟踪和可见性对于遵从性和安全性都很有用;您可以跟踪有多少人打开了最新版本的员工手册,或者看到您与一个小团队共享的文档实际上被数百人阅读。
权限管理是一项成熟的企业技术——例如,自2003年以来Windows Server就有了版本——但Gartner分析师Mario de Boer指出,“EDRM比以往任何时候都更受欢迎,”他还表示,“企业范围的部署仍很少见。”
安全协作供应商最近的一项调查Intralinks发现只有53%的企业对信息进行分类,使其与应该保护信息的访问控制相一致。在并购等机密但时间敏感的过程中,这尤其成问题;如果您担心交易失败,您可能会开始四处邮寄不受保护的Excel文件,而不是为了正确授予访问权限而跳来跳去。
这可能就是为什么一项针对并购高管的调查通过了Ansarada(其安全办公服务是为在并购过程中共享文件而设计的)发现,71%的公司遭受过数据丢失。即使你不是美国国家安全局也会遭受内部攻击;今年初英国媒体监管机构Ofcom发现一名前雇员在离职前下载了6年的电视广播公司数据,并迅速将其提供给了其竞争对手新雇主。
通过权利管理,Ofcom可能会使这些文件变得一文不值,因为一旦员工离开,他们就会失去打开这些文件的权利——而且他们也可能无法打印这些文件或复制其中的内容。新的数据隐私法,如欧盟一般数据保护条例,将使这类损失更加昂贵。
[相关:DRM可能会在企业中卷土重来]
“保护数据的传统方式侧重于控制,”de Boer说。“控制网络(我们锁定的数据在数据中心”),控制设备(“我们启用了aes - 256在所有手机加密和加密整个磁盘在Windo雷竞技电脑网站ws上的),应用程序(每个人都使用我们的集装箱解决方案)和控制服务(我们只给授权人访问应用程序”)。”
负责包括Azure RMS在内的微软版权管理产品的Dan Plastina说,公司开始意识到保护周边和设备已经不够了,他们需要一种以数据为中心的方法。
“你曾经有一个周长,但多年来,你已经在墙上打了很多洞,”Plastina说。“数据没有被保存在你希望它被保存的地方。不管你喜不喜欢,这一切正在发生。我看到的是,人们意识到这个问题比他们想象的要严重得多,我认为一些组织已经意识到他们需要关注身份和数据,而不是传统的设备管理。设备管理不会消失,但数据和身份需要更积极地结合在一起的概念肯定会产生共鸣。”
他将权利管理的核心描述为“受身份限制的数据保护;你把文件加密,这样只有正确的人才能看到它。”
一些行业已经采用了权利管理,特别是金融、汽车和制造业。“他们要么想要保护数据,要么必须保护数据,”Plastina说。他说:“有些组织有很多知识产权,想要保护它们,而银行内部还有PII和财务数据。与我们合作的一些金融机构每天都通过权限管理来保护大量文件。”
但他坚持认为,版权管理对更广泛的行业都很重要。“你的数据被传送到不同的存储库和商店。数据被送到云端,交给合作伙伴;这些内容显然不在你的控制范围之内。这项技术已经到了人们应该关注的地步。他们公司的数据使用绝对超过了限制;他们的数据到处都是,而他们却一无所知。”
避免极端
问题不在于技术的质量,大多数组织都有成熟的身份管理,这将允许他们使用权限管理技术。“最常见的挑战不是技术上的,而是文化上的,”德布尔解释说。“你应该预料到,与解决技术问题相比,普通工作流程中的变化更难计划和完成。”
这意味着在开始使用权限管理时不要过于雄心勃勃,要避免给用户留下太多信息和过多地锁定数据。大多数成功的部署都是从小处开始的,策略适用于最敏感的存储库。然后监控使用情况,边走边学习,并检测缺陷。最终,你可以扩展到更复杂的用例。”
有些事情是版权管理永远无法保护你的,比如一个员工用智能手机给自己的屏幕拍照,但这不是一个技术问题;这是一个管理问题(在这一点上,员工不能声称他们偶然分享了信息)。
Plastina说,权限管理部署通常会遇到两个问题。“要么人们把一切都留给用户,要么他们在广度上发疯,说‘我要保护一切’。”这两种方法都不奏效。他指出:“IT领导没有很好的判断力,不知道什么是敏感的,什么是不敏感的。”因此,业务领导需要参与决定保护什么。你也不需要像你想的那么多保单;严格保密、机密、内部和公共数据的政策将覆盖大多数公司。
他建议,首先考虑你最敏感的数据以及它们的存储位置。“不是所有的数据都是敏感的。如果你的数据中有5%是最高机密,那就拿出这5%,把你的精力集中在这上面。如果你从事糖果行业,那么SAP是你的敏感数据的主要来源;物流,订单信息,库存,财务。这些数据是安全的,直到你运行一个报告,创建一个PDF或Excel文件,并开始邮寄它。“在这种情况下,从SECUDE收购Halocore,专注于SAP并标记it公司内部;所有这些数据在出生时就会被加密,不会泄露到公司之外。这很快就会开始束缚你的数据。”
下一步可能是划分内部电子邮件;例如,在人力资源和法律团队内部发送的信息和文件。“如今,公司的每一个人都可以访问整个公司价值的数据。如果非常敏感的数据得到了权利保护,那么分区就会强制执行,并且会通知Dan in legal试图从HR访问文档,”Plastina解释说,“这样就会有人采取行动。”
他提出了一个简单的技巧,让团队选择对自己的内容进行分类和标签;“打开RMS;没人会注意到它开着。然后去人力资源部或法律部等部门,给他们发一封标有“禁止转发”的邮件,告诉他们不能转发,并附上一张截图,告诉他们如何转发。“这是人的本性。“他们会看着它,试着传播它,意识到他们做不到——然后开始自己使用它。现在您的组织中已经有了分区数据。”
你不能依赖特定的分类,但是限制太多也会适得其反,Plastina指出。“企业需要表现出一些克制。从电子邮件和SAP开始,但要有一些灵活的政策,这样你才能保持生产力。“它还将向你展示你的业务中真正的工作流是什么,这可能不是你想的那样。”请记住,权限管理必须应用于执行者,他们将不得不接受对其工作流的一些更改。“考虑到最近新闻中出现的大规模数据丢失事件,可能不像你想象的那样需要付出那么多努力来获得支持,”德布尔斯建议。
[相关:人(仍然)是最大的安全风险]
如果你对你的高级领导团队发送的邮件有“禁止转发”的规定,你可能想让高管能够取消对邮件的保护,然后再对其进行保护,这样他们就可以与自己的领导团队分享这些邮件。“如果这位高管丢失了文件的缩略图,就没有人能够打开它们,”Plastina指出,“但它不会变得太压迫高管,以至于他们不想这么做,并试图绕过它。”
现在保护,以后再成熟
微软还在努力改进Office内部自动分类和保护文档的体验,更像它已经拥有的数据泄漏保护功能,使用的是最近购买的安全岛技术。当你输入信用卡号,办公室将表明文档需要标记为机密,但也会有一个选项为用户在文档说这是一个错误,改变分类回到内部(你可以交换数据泄漏防护今天)。Office集成将在不久的将来作为私有预览版提供,安全岛工具现在正在发布。
一旦你有了标签和权限管理的数据,就有机会超越通常的文件共享和电子邮件控制。微软最近收购了Adallom;该技术现在被称为云应用安全,Plastina表示,它将成为一种数据泄露保护,保护流向云服务的数据。“它可以作为代理存在于网络中,也可以依附于api,所以它能够在经典的生产终端之外工作。”想象一下,一个云访问安全代理能够阻止向Salesforce上传机密信息。”
权利管理文件将是机器学习的一个关键领域,既为跟踪误用和自动分类文件。另外微软收购,Equivio,今天能做的法律文件分类,并Plastina称微软已规划建设上。“你喂给它一堆文件,并告诉它“去找到更多这样的。想象一下,一个组织拥有PB级的数据,他们有用户主动进行分类的一些内容。
一旦你有了100MB的机密内容,你可以用Equivio来说明"我知道这些是顶级机密的并购文件,按标签分类;现在去找一堆没有标签的[匹配文档],然后对它们进行批量分类。如果你有一拍字节的历史数据你想要标记它;你不能只保护新内容或现在正在编辑的内容。”
他指出,如果您正在寻找那些高级特性,那么您仍然希望现在就开始使用权限管理。“最好的方法是集中在基本的:分类,标签和保护。从这里开始,一旦完成,监视和响应就容易得多了。如果没有信号,就没有能力监控和回应。”
De Boers同意现在应该考虑权限管理,而不是以后再考虑。cio应该为信息保护制定一个以数据为中心的方法,而EDRM在这类计划中占据中心位置。所有重视协作并理解围绕敏感数据岛的基础设施边界缺乏灵活性的cio都应该调查EDRM。”
灵活性是关键,采用权限管理。安全群岛将帮助您找到需要保护的文件,并把保护关闭,如果不需要的话。
这个故事,“为什么您的文档需要DRM”最初是由首席信息官 。