Accueil> Général> Protection des données

La protection des données

4 septembre 2009
Goto commentaires Laisser un commentaire

Nous traversons actuellement un projet assez important à l'interne, et une partie de cela est un registre "risque" contre l'entreprise. Maintenant, cela comprend beaucoup plus d'informations qu'un simple données sur disque, mais aussi des gens, leur réputation et ainsi de suite. Pour moi, maintenant que j'ai commencé ce projet, qui est un élément clé de la protection des données.

 

C'est un sujet intéressant, et quelque chose que je voudrais partager avec vous à ce stade précoce de mon propre projet car il fait de vous pencher sur les aspects de stockage dans une lumière différente.

 

Ce qui touche un morceau de la classe de risque données?

 

  1.   Qui a accès?
  2. Comment est-il confidentiel?
  3. At-il une valeur tangible?
  4. Combien de portables est-il?
  5. Se pourrait-il nuire à l'réputation de l'entreprise?
  6. Est-il protégé?
  7.   ... Sans doute beaucoup plus!

 

Certaines d'entre elles sont toutes des questions que nous avons déjà posé des questions sur les ensembles de données que nous avons besoin de définir snapshot, réplication et les politiques de bande, mais la protection des données va beaucoup plus loin que simplement cela. Il est intéressant de le plugin Zemanta pour mon blog a établi un lien «protection des données" par "d'informations nominatives", qui est un point clé!

 

Qui a accès?

 

Pas seulement d'un front-end centre agréé de vue, même si vous n'avez pas besoin de le savoir. La paie par exemple, généralement, il serait juste de ressources humaines et comptabilité qui ont accès à cela, mais est-il un mécanisme pour quelqu'un d'autre à y avoir accès? Si oui, est-il un contrôle d'audit pour vérifier qui a obtenu l'accès, ou qui a obtenu l'accès? Le contrôle de la vérification est presque plus importante que la sécurité en premier lieu. De sécurité peut et sera toujours brisé, mais si vous pouvez prouver qu'il était cassé, alors vous pouvez résoudre le problème!

 

Comment est-il confidentiel?

 

La plupart d'entre nous ont une compréhension juste de ce qui est confidentiel et ce qui l'est pas. Données sur les employés, les données clients, Paie, Comptabilité, sont tous des candidats évidents pour des données hautement confidentielles. Mais d'autres choses sont encore confidentielles, même si elles ne sont pas classées comme hautement confidentielles. IP externe de schéma, les mots de passe faible niveau du système, bien qu'ils mai être librement accessibles par les équipes techniques, ils ne sont pas disponibles aux secrétaires par exemple, si cela les rend d'une certaine façon confidentielle. Sont-ils marqués comme confidentiels? Autre que l'application du bon sens, avez-vous jamais dit à personne qu'ils ne devraient pas e-mail un mot de passe administrateur de domaine autour par exemple?

 

At-il une valeur tangible?

 

Très difficile à jouer et les analystes se love this! Mais certaines choses ont une valeur immédiate réels et tangibles, bon de commande ou un contrat signé peut-être. Il est possible de définir un coût système de pointage par rapport aux données, mais il est très difficile à calculer. Quelque chose va coûter de l'argent de manière très indirecte, par exemple, si quelque chose de dommages-intérêts de l'entreprise réputation, elle pourrait entraîner une perte de recettes. Cela devrait vraiment être apprécié dans d'autres domaines et ne pas dépenser nécessairement du temps pour mettre une valeur tangible sur chaque morceau de données (je veux finir mon projet cette année !!!).

 

Combien de portables est-il?

 

Avec l'âge des machines virtuelles, la portabilité est très importante et très dangereuse. Quelqu'un peut se promener littéralement juste à côté d'un système de base de données entière désormais sur un disque dur portable! Comment protégez-vous contre cela? Yat-il un moyen de lier les systèmes de clés, ou à la police un accès brut à eux? Autant que la technologie et des vitesses WAN dû venir, c'est quand même assez déraisonnable de supposer que vous pourriez email tout un système. Toutefois, il est très facile de courrier électronique des feuilles de calcul et de documents autour. Empêcher que cela arrive peut être restrictif sur la journée à la gestion courante d'une entreprise, alors nous rabattre à la vérification et la surveillance. Il existe de nombreuses bases de couvrir, média portable, courriel, partage de fichiers, etc

 

Se pourrait-il nuire à la réputation de l'entreprise?

 

Il s'agit d'un bon, et pas quelque chose qu'on pourrait tout de suite penser. Pas seulement nécessairement "Dirt" sur les activités, mais peut-être l'entreprise est une technologie clé ou un système qui veut dire qu'ils sont uniques sur le marché. Si ce n'est divulgué à une autre entreprise, il pourrait nuire à la réputation que d'autres pourraient alors commencer à faire de même. La réputation commerciale pourraient être endommagés si les données ont été absent? Si un système de clés a été hors ligne pour une période de temps, quelle serait la réputation de l'entreprise d'être endommagé (jetez un oeil à certaines start-ups Cloud!). Une réputation endommagée pourrait faire couler une entreprise. Naturellement, l'éthique d'entreprise et les pratiques commerciales sont un bon moyen de détruire une réputation. J'ai beaucoup d'amis qui ne parvient toujours pas acheter Nestle!

 

Est-il protégé?

 

Et ceci est un amalgame de tout ce qui précède en réalité. Les questions ci-dessus vous aider à définir la valeur commerciale d'un actif de données particulier. Donc, si elle a une grande valeur, comment est-il protégé? Comment devrait-elle être protégée? Combien de temps l'entreprise peut survivre pendant qu'il est récupéré? Combien est-ce la perte de données coût réellement l'entreprise?

 

En fonction de la classe de risque et la valeur commerciale affectera grandement la protection et à la vérification de déployer autour de lui.

 

Mettre cela en action

 

J'aimerais bien entendre les gens sur la façon dont vous mettre ceci en pratique. NetApp nous utilisons nous-mêmes (la pratique définitivement ce que nous prêchons), et cela me donne un grand niveau de contrôle sur mes données et la protection que nous employons. Protection va plus loin que de simples photos et de sauvegarde sur bande Toutefois, nous avons besoin de le protéger de la perte de données plus justes. Alors que NetApp ont quelques grands outils de protection contre la perte de données, il existe une obligation d'aide avec les autres domaines de la protection des données, et je voudrais bien voir NetApp bâtir sur cet espace.

 

J'ai une certaine expérience en utilisant des outils comme Varonis, Acopia, Northern Storage Suite, NTP QFS, TekTools, pour n'en nommer que quelques-uns, et ceux-ci nous ont tous aidé dans le passé dans le déploiement d'une solution complète. Je l'ai dit à plusieurs reprises, et c'est quelque chose que je crois vraiment que je vais le dire à nouveau, une solution complète est une combinaison de plusieurs technologies différentes qui se complètent mutuellement.

 

J'aimerais revenir sur ce sujet à nouveau dans quelques mois quand j'ai progressé mon projet plus loin, mais j'aimerais entendre sur le terrain pour voir ce que font les autres pour obtenir la protection des données complètes.

Reblog ce poste [de Zemanta]
VN: F [1.7.8_1020]
Rate this post:
Note: 0.0 / 10 (0 votes)

générale,

  1. Pas encore de commentaires.
  1. Aucun trackback pour le moment.

Ce site n'est pas affilié ou sponsorisé en aucune façon par NetApp ou tout autre société mentionnée à l'intérieur.

Bad Behavior a bloqué 9301 tentatives d'accès au cours des 7 derniers jours.

© 2009-2010 Chris Kranz Tous droits réservés
Ce site n'est pas affilié ou sponsorisé en aucune façon par NetApp ou tout autre société mentionnée à l'intérieur.