Vi är för närvarande inne i ett ganska stort projekt internt, och en del av detta är en " risk register "mot verksamheten. Nu detta inbegriper mycket mer information än bara enkelt data på disk, men även människor, rykte och så vidare. För mig, nu när jag har startat detta projekt, som är en viktig del av dataskydd.

Det är ett intressant ämne, och något som jag skulle vilja dela med er i detta tidiga skede i mitt projekt eftersom det gör att du ser på lagring aspekter i ett annat ljus.

Vad påverkar en bit datas riskklass?

1.   Vem har tillgång till den?
2. Hur konfidentiell är det?
3. Har den en påtagligt värde?
4. Hur bärbara är det?
5. Kan det skada potentiellt verksamheten rykte?
6. Är det skyddas?
7.   ... Förmodligen en mycket mer!

Några av dessa är alla frågor som vi redan har frågat om de datamängder som vi måste definiera snapshot, replikering och politiska band, men dataskydd går mycket längre än just detta. Intressant att Zemanta plugg för min blogg har länkat "skydd" med "Sekretess", som är en viktig punkt!

Vem har tillgång till den?

Inte bara från en front-end godkända synpunkt, men du behöver veta detta. Lön till exempel, i allmänhet skulle det bara vara HR och redovisning som har tillgång till detta, men finns det en mekanism för någon annan att få tillgång till det? Om så är fallet, finns det någon revision kontroll för att kontrollera vem som har fått tillgång till, eller som har fått tillgång till? Revisionen kontroll är nästan viktigare än säkerheten i första hand. Säkerhet kan och kommer alltid att brytas, men om du kan bevisa att det var brutet, kan du fixa det!

Hur konfidentiell är det?

De flesta av oss har en rättvis grepp om vad som är sekretessbelagd och vad som inte. Employee data, kunddata, Lön, Redovisning, är alla självklara kandidater för mycket konfidentiell data. Men andra saker är fortfarande konfidentiella, även om de inte är klassificerade som mycket konfidentiella. External IP schema's, låga system lösenord, även om de kan fritt tillgängliga av tekniska team, är de inte tillgängliga för sekreterare till exempel, så detta gör dem konfidentiellt på något sätt. Är de märkta som konfidentiella? Annat än att tillämpa sunt förnuft, har du aldrig berättat för någon att de inte e ett lösenord domänadministratör runt till exempel?

Har den en påtagligt värde?

Mycket svår att spela och analytiker kommer att älska detta! Men vissa saker har ett verkligt påtagliga och omedelbara värde, köporder eller ett undertecknat kontrakt kanske. Det finns utrymme för att definiera en kostnad poängsystem emot data, men det är mycket svårt att beräkna. Något kommer att kosta pengar på mycket indirekt sätt, till exempel om något som skadar företagets rykte, det kan orsaka förlust av intäkter. Detta borde verkligen bedömas på andra områden och inte nödvändigtvis spendera tid att sätta ett konkret värde på varje bit data (Jag vill avsluta mitt projekt i år !!!).

Hur bärbara är det?

Med en ålder av virtuella maskiner är portabilitet mycket viktig, och mycket farligt. Någon kan bokstavligen bara gå iväg med en hel databas system nu på en bärbar hårddisk! Hur skyddar dig mot detta? Finns det något sätt att binda nyckel-system, eller polisen rå tillgång till dem? Så mycket som teknologi och WAN-hastigheter har kommit fram, är det ändå ganska rimligt att anta att du kan e ett helt system. Men det är mycket lätt att e-kalkylblad och dokument runt. Förhindra att detta händer kan vara begränsande dag till dag driva ett företag, så faller vi tillbaka till revision och övervakning. Det finns många baser för att täcka, flyttbara media, e-post, fil-aktier, etc.

Kan det skada företagets rykte?

Detta är en bra en, och inte något man kanske först tänker på. Inte nödvändigtvis bara "smuts" på verksamheten, men kanske verksamheten har en central teknik eller system som innebär att de är unika på marknaden. Om detta läckt ut till ett annat företag, kan det skada företagets rykte som andra kunde sedan börja göra samma sak. Kan verksamheten rykte skadas om uppgifterna var frånvarande? Om en knapp system var offline för en tid, hur skulle verksamheten rykte skadas (ta en titt på några nystartade Cloud företag!). Ett skadat anseende skulle sjunka ett företag. Naturligtvis företag etik och affärsmetoder är ett bra sätt att förstöra ett rykte. Jag har många vänner som fortfarande inte kommer att köpa Nestle!

Är det skyddas?

Och detta är en sammanslagning av alla ovanstående verkligen. Frågorna ovan hjälper dig att definiera affärsnytta på en viss data tillgång. Så om det har ett högt värde, hur skyddade är det? Hur skyddas bör det vara? Hur länge kan verksamheten överleva medan det återvinns? Hur mycket skulle förlora data kostar egentligen företaget?

Beroende på riskklassen och affärsvärde kommer att kraftigt påverka skyddet och revision du distribuera runt den.

Att sätta detta i handling

Jag vill gärna höra från folk om hur du lägger över i handling. Vi använder oss NetApp (definitivt leva som vi lär), och det ger mig en stor grad av kontroll över mitt dataset och skydd vi använder. Skydd går längre än bara ögonblicksbilder och bandkopia Men, vi måste skydda det från mer än bara dataförlust. Medan NetApp har några bra verktyg för att skydda mot förlust av data, finns det ett krav att hjälpa till med de andra områdena för dataskydd, och jag vill gärna se NetApp bygga vidare på detta utrymme.

Jag har viss erfarenhet av att använda verktyg som Varonis , Acopia , Northern Storage Suite , NTP QFS , TekTools , för att nämna några, och dessa har alla hjälpt oss tidigare i utbyggnaden av en komplett lösning. Jag har sagt vid flera tillfällen, och det är något jag verkligen tror på, så jag säger det igen, en komplett lösning är en kombination av många olika tekniker som kompletterar varandra.

Jag vill återkomma till denna fråga igen om några månader när jag har kommit mitt projekt vidare, men jag skulle vilja höra från fältet för att se vad andra människor gör för att få fullständigt skydd.