企業(yè)利用DLP系統(tǒng)為CRM數(shù)據(jù)保駕護(hù)航
2010/02/24
信息泄漏防護(hù)(又叫數(shù)據(jù)丟失防護(hù))對(duì)安全軟件來說是一項(xiàng)相當(dāng)成熟的功能,而大多數(shù)供應(yīng)商竭力宣傳這類工具可以保護(hù)財(cái)務(wù)系統(tǒng)數(shù)據(jù),避免未授權(quán)用戶訪問或傳送。為什么這項(xiàng)功能對(duì)CRM系統(tǒng)來說如此重要呢?
客戶關(guān)系管理(CRM)系統(tǒng)里面全是對(duì)公司來說最寶貴的數(shù)據(jù)。但是,通常CRM系統(tǒng)并非外部黑客覬覦的首要目標(biāo),為什么它應(yīng)該是信息泄漏防護(hù)/數(shù)據(jù)丟失防護(hù)(ILP/DLP)系統(tǒng)需要保護(hù)的首要對(duì)象呢?
咱們不妨先澄清一個(gè)誤解:外部黑客很少是一般企業(yè)擔(dān)心的最大問題,對(duì)CRM系統(tǒng)來說更是如此。最大的威脅其實(shí)來自企業(yè)內(nèi)部的員工,尤其是滿腹牢騷的員工?紤]到當(dāng)下許多員工被解雇、銷售代表流動(dòng)頻繁,這種風(fēng)險(xiǎn)就更大了。企業(yè)員工不但可以訪問數(shù)量眾多的數(shù)據(jù),還知道這些數(shù)據(jù)的意義,知道哪些數(shù)據(jù)重要、哪些數(shù)據(jù)不重要。
所以,你的首要任務(wù)就是防止關(guān)鍵的CRM數(shù)據(jù)外泄出去。根據(jù)法律,數(shù)據(jù)是公司的財(cái)產(chǎn)。但實(shí)際上,公司的全部聯(lián)系人名單和交易歷史記錄都可能裝在一塊小小的存儲(chǔ)卡上,很容易被藏起來、帶走。雖然最完備的CRM系統(tǒng)擁有細(xì)粒度的控制機(jī)制(由角色層次、用戶配置文件、工作流狀態(tài)及應(yīng)用程序邏輯來執(zhí)行)和審計(jì)跟蹤記錄,但我還沒有發(fā)現(xiàn)哪個(gè)CRM系統(tǒng)落實(shí)了合理級(jí)別的ILP功能。如果用戶可以運(yùn)行任何報(bào)告,他們通常就能運(yùn)行幾乎所有報(bào)告,然后把結(jié)果導(dǎo)出到CSV文件。如果用戶能查看記錄,他們就能把記錄保存成HTML格式或打印記錄。而幾乎每一家CRM供應(yīng)商都缺少針對(duì)訪問歷史的審計(jì)跟蹤記錄。
CRM系統(tǒng)當(dāng)然提供了甚至包括拒絕讀取訪問在內(nèi)的各項(xiàng)功能,但要是走此極端(拒絕讀取訪問)不但限制了用戶的工作效率,還會(huì)向壞人透露消息:你識(shí)破了他們的意圖。這時(shí),應(yīng)該使用合適的ILP/DLP工具。
因?yàn)镾aaS的CRM系統(tǒng)帶來了一些特別的難題,因此企業(yè)需要與ILP工具供應(yīng)商緊密合作。如果企業(yè)還沒有購(gòu)買一款I(lǐng)LP工具,就要確保尋找一款能夠識(shí)別數(shù)據(jù)、尤其是在Web環(huán)境下識(shí)別數(shù)據(jù)的工具。ILP工具經(jīng)過輕松配置后,即可阻止CSV文件的創(chuàng)建,或者至少可以防止CSV文件被人以電子郵件的方式發(fā)送或被人下載。但是,你未必想要阻止所有CSV文件的使用,只是想阻止含有CRM系統(tǒng)內(nèi)容的CSV文件。ILP工具經(jīng)配置后,還能阻止HTML頁(yè)面的保存或打印,但SaaS CRM系統(tǒng)具有的靈活性加大了描述違禁內(nèi)容特點(diǎn)的難度。如果這讓你想到了對(duì)屏幕抓取工具進(jìn)行配置所帶來的樂趣,就明白我所說的意思。
再來討論CRM中比較系統(tǒng)性的ILP問題。因?yàn)檎嬲腃RM系統(tǒng)是與公司其他幾種數(shù)據(jù)資產(chǎn)集成起來的,你就需要關(guān)注全局,那樣才能了解自身在安全方面的薄弱環(huán)節(jié)。CRM系統(tǒng)生成的數(shù)據(jù)可能會(huì)從會(huì)計(jì)、訂單錄入或電子商務(wù)等系統(tǒng)泄漏出去。CRM數(shù)據(jù)也有可能被推送到客戶支持或倉(cāng)庫(kù)/分銷軟件。這些外部系統(tǒng)不可能擁有與CRM系統(tǒng)同樣的安全模型,所以分析員就需要認(rèn)真查找有沒有漏洞和后門。
當(dāng)然,反過來也是如此:集成服務(wù)器可能會(huì)把數(shù)量眾多的客戶數(shù)據(jù)從貴企業(yè)的其他地方推送到CRM系統(tǒng)。最引人注意的與客戶財(cái)務(wù)數(shù)據(jù)有關(guān)的社會(huì)保障號(hào)碼、醫(yī)療保健賬號(hào)、銀行賬戶記錄以及信用卡信息。雖然把這些數(shù)據(jù)放在CRM系統(tǒng)都有各自的充足理由,但我們總是勸告客戶:避免真地把任何敏感的客戶財(cái)務(wù)數(shù)據(jù)存放到CRM數(shù)據(jù)庫(kù)中。此外,如果你有歐盟國(guó)家的客戶,法律要求對(duì)個(gè)人信息和敏感信息須采取特別保護(hù)。
最后,企業(yè)需要實(shí)施一系列ILP/CRM策略和程序,包括:
- 減少擁有系統(tǒng)管理員權(quán)限的人員的數(shù)量。
- 制定嚴(yán)格保護(hù)數(shù)據(jù)的規(guī)則(包括編輯和訪問數(shù)據(jù)方面的規(guī)則)。
- 為處于危險(xiǎn)之中或很快將被解雇的員工制定一套政策和方法。
- 關(guān)閉幾乎所有用戶通過應(yīng)用編程接口(API)訪問數(shù)據(jù)庫(kù)的通道。
- 對(duì)于Office、Outlook、Excel、Google或其他聯(lián)系人管理工具使用連接件嚴(yán)加限制,對(duì)于任何批量導(dǎo)入/導(dǎo)出工具也要嚴(yán)加限制。
ZDNet管理軟件頻道
相關(guān)閱讀: