如果貴公司在云中運行關(guān)鍵業(yè)務(wù)應(yīng)用，則可能會將公司的敏感數(shù)據(jù)或機密數(shù)據(jù)存儲在防火墻之外。毫無疑問，企業(yè)會采取預(yù)防措施，以防止數(shù)據(jù)暴露給不適當?shù)娜藛T或環(huán)境——但這么做就夠了嗎？

盡管您身為應(yīng)用程序負責人，但令人吃驚的是，在您部門中存在一些十分常見的違反數(shù)據(jù)隱私的現(xiàn)象。請回答下面的問題，找出可以通過最佳實踐解決的漏洞。

問題：您是否曾復(fù)制生產(chǎn)應(yīng)用數(shù)據(jù)以用于測試、開發(fā)或報告？

您為生產(chǎn)環(huán)境設(shè)置的很多安全控制方法在數(shù)據(jù)倉庫或開發(fā)環(huán)境中會被修改或棄用。

“通常情況下，審查都不甚嚴格”，Informatica企業(yè)戰(zhàn)略服務(wù)部IT副總裁Kristin Kokie表示。“如果為了測試新版本而復(fù)制PeopleSoft中的人力資源數(shù)據(jù)，開發(fā)人員會無意中看到實際的具體薪資數(shù)據(jù)。如果您允許分析師提取數(shù)據(jù)倉庫中的交易數(shù)據(jù)，他們可能會將這些數(shù)字傳輸?shù)阶约鹤烂嫔系碾娮颖砀裰小?rdquo;

這會使您失去所有基于用戶的訪問限制，并且，您在生產(chǎn)環(huán)境中實施的任何監(jiān)控或合規(guī)策略都會失效。“根本就沒有對開發(fā)環(huán)境或桌面進行合規(guī)性審計，”Kokie表示。

問題：個別員工了解的信息是否過多？

對于審核員工有權(quán)訪問的數(shù)據(jù)，您應(yīng)該想一下是否有必要為其分配這些訪問權(quán)限。例如：

客戶支持代表：這些員工需要訪問一定數(shù)量的客戶數(shù)據(jù)，以便提供頂級服務(wù)。但是，電信公司的初級員工是否確實需要掌握知名人士的電話號碼信息呢？

應(yīng)用生產(chǎn)支持人員：雖然技術(shù)支持問題需要進行實時處理，但支持人員真的需要對數(shù)據(jù)擁有完整訪問權(quán)限才能完成他們的工作嗎？例如，某個請求可能會暴露員工離職報告等隱私信息。

應(yīng)用程序開發(fā)人員：為了進行測試而復(fù)制數(shù)據(jù)時，開發(fā)人員通常會獲取完整的訪問權(quán)限，這樣一來，他們不僅能夠訪問敏感信息，而且還能夠訪問基礎(chǔ)數(shù)據(jù)庫和登錄信息。想一想，如果某個員工在鬧情緒，那么他會對這些信息造成怎樣的損壞。

問題：您是否仍在運行"一套"不適用的應(yīng)用程序？

當升級舊系統(tǒng)或使用新系統(tǒng)更換舊系統(tǒng)時，您可能會繼續(xù)并行使用新舊兩套應(yīng)用系統(tǒng)。因為您并不知道何時會需要使用舊數(shù)據(jù)，對嗎？這樣做真是大錯特錯！

舊系統(tǒng)已經(jīng)失去使用價值，變成了被遺棄的“孤兒”。如果它們?nèi)员Ａ裘舾袛?shù)據(jù)或機密數(shù)據(jù)，會導(dǎo)致什么后果呢？“那些極為關(guān)鍵的信息可能會從這里泄露出去，”Kokie說道。“如果您不知道這里有敏感數(shù)據(jù)，又如何對它加以保護呢？”

接下來該怎么辦？

如果您對上述所有問題的回答都是肯定的，請不要驚慌。您可以解決這些漏洞。當務(wù)之急是了解數(shù)據(jù)在哪里，哪些人員有權(quán)訪問。一個經(jīng)常采用且易于部署的最佳實踐是：在非生產(chǎn)環(huán)境中永久屏蔽敏感數(shù)據(jù)，在生產(chǎn)環(huán)境中動態(tài)屏蔽敏感數(shù)據(jù)。