Data Privacy compliance是當(dāng)今中小型企業(yè)面臨的最大風(fēng)險(xiǎn)之一。尤其是對(duì)于托管服務(wù)提供商，了解如何審核數(shù)據(jù)并主動(dòng)避免責(zé)任是長(zhǎng)期成功的關(guān)鍵。隨著越來(lái)越多的企業(yè)將BYOD作為其持續(xù)工作流程的一部分，我與Actifile聯(lián)合創(chuàng)始人兼首席執(zhí)行官蓋伊·巴夫利（Guy Bavly）坐了下來(lái)，討論了中小型企業(yè)可以采取的一些最佳做法，以在其數(shù)據(jù)流中維護(hù)數(shù)據(jù)隱私。

請(qǐng)描述Actifile背后的故事：是什么激發(fā)了這個(gè)想法，以及到目前為止它是如何演變的

Actifile有一種技術(shù)可以監(jiān)控文件流；來(lái)自任何源、web或本地的任何類型的文件，無(wú)論是Windows Server、OneDrive或其他應(yīng)用程序等文件存儲(chǔ)庫(kù)。我們可以監(jiān)控文件的來(lái)源，分析它們的內(nèi)容，并查看它們是否真的從組織轉(zhuǎn)移到了目的地。

大約三年前，當(dāng)我加入Actifile時(shí)，我們正在使用這項(xiàng)技術(shù)來(lái)更好地做出備份決策。因此，如果文件正在更改，或者它來(lái)自敏感來(lái)源，這將是備份它的原因。

有一天，我們的一位客戶與我們談?wù)撁舾行畔ⅰＫ麚?dān)心信息被誤放、泄露或竊取，并要求我們提供一種監(jiān)控敏感文件狀態(tài)的解決方案。因此，我們開始圍繞這項(xiàng)技術(shù)構(gòu)建一個(gè)解決方案，幫助發(fā)現(xiàn)、監(jiān)控和降低中小型企業(yè)與法規(guī)遵從性相關(guān)的風(fēng)險(xiǎn)。

如今，我們?cè)诿绹?guó)為大約130名客戶提供服務(wù)。我們主要與托管服務(wù)提供商合作，并作為外包IT部門為中小型企業(yè)提供服務(wù)。我們的解決方案不僅幫助我們的客戶保護(hù)他們的數(shù)據(jù)，還幫助他們遵守當(dāng)今世界非常普遍的不同數(shù)據(jù)隱私法規(guī)。
這里有一段視頻解釋了Actifile背后的概念：

如今中小企業(yè)在數(shù)據(jù)隱私方面面臨哪些挑戰(zhàn)

我將主要關(guān)注美國(guó)客戶，但我要說(shuō)的可能在全世界都是正確的。首先，在過(guò)去幾年中，許多新的數(shù)據(jù)隱私法規(guī)和法律已經(jīng)引入市場(chǎng)。在美國(guó)，有超過(guò)15項(xiàng)法規(guī)，包括州級(jí)法規(guī)和聯(lián)邦法規(guī)，如HIPAA或NIST 800、171等。

在全球市場(chǎng)運(yùn)營(yíng)的公司也必須遵守美國(guó)以外的法規(guī)，例如歐洲的GDPR、新加坡的PDPA等。總之，數(shù)據(jù)隱私法規(guī)的數(shù)量和復(fù)雜性在過(guò)去幾年中大幅增加。第二，許多中小型企業(yè)是所謂供應(yīng)鏈的一部分。他們實(shí)際上是作為提供服務(wù)或產(chǎn)品的分包商與更大的企業(yè)和組織合作。有鑒于此，他們必須與企業(yè)所做的一切保持一致并遵守。

舉個(gè)例子，美國(guó)有一項(xiàng)新的政府隱私相關(guān)法律，每個(gè)中小企業(yè)都必須遵守該法律，才能與國(guó)防部交換文件。這些不是絕密文件，但它們?nèi)匀皇菣C(jī)密文件，因此需要監(jiān)控和跟蹤。這意味著，作為供應(yīng)鏈一部分的中小型企業(yè)必須遵守這一政策，否則他們將發(fā)現(xiàn)自己無(wú)法勝任這項(xiàng)工作。

我們有一位客戶正在為F16生產(chǎn)零件，為麥克唐納·道格拉斯分包，他實(shí)際上是國(guó)防部的供應(yīng)商或承包商。因此，通過(guò)繼承，較小的組織必須遵守，因?yàn)楦鶕?jù)定義，這些文件是他們?cè)谌魏谓o定時(shí)間都需要出示的證據(jù)鏈的一部分。第三，可以說(shuō)，監(jiān)管機(jī)構(gòu)不再讓中小企業(yè)松懈。在過(guò)去，如果你的組織中有100或150名員工，你可以跳過(guò)每隔一年的合規(guī)審計(jì)，而不用太擔(dān)心違規(guī)行為。現(xiàn)在不是這樣了。監(jiān)管機(jī)構(gòu)不會(huì)讓任何人松懈，他們必須每年接受審計(jì)。

這不僅適用于金融、醫(yī)療或政府分包商等垂直行業(yè)，也適用于任何服務(wù)組織。目前市場(chǎng)上有一種情緒，消費(fèi)者非常擔(dān)心自己的隱私。一個(gè)組織的員工，即使是一個(gè)小組織，也擔(dān)心他們的數(shù)據(jù)隱私。因此，它來(lái)自不同的方向，由于我提到的所有原因，中小企業(yè)不再可以選擇保護(hù)數(shù)據(jù)并遵守?cái)?shù)據(jù)隱私法規(guī)，它實(shí)際上已成為強(qiáng)制性的。歸根結(jié)底，這將有助于他們的業(yè)務(wù)，不僅因?yàn)樗麄冃枰袷兀乙驗(yàn)槿绻麄儾蛔袷兀麄兊暮献骰锇閷⒉粫?huì)與他們合作，他們的客戶也不會(huì)看好他們。最終，它不僅關(guān)乎法規(guī)遵從性，還關(guān)乎獲得競(jìng)爭(zhēng)優(yōu)勢(shì)。

最后但并非最不重要的一點(diǎn)是，如果一個(gè)小組織被破壞，他們將無(wú)法通過(guò)審計(jì)，很可能會(huì)倒閉。與大型組織不同的是，大型組織有大型部門，負(fù)責(zé)保護(hù)隱私，有足夠的錢支付律師費(fèi)，而對(duì)于一些小型組織來(lái)說(shuō)，即將進(jìn)行的審計(jì)可能會(huì)是一個(gè)非常緊張的財(cái)務(wù)狀況。

在您看來(lái)，在制定組織安全戰(zhàn)略時(shí)，最基本的因素是什么

擁有50名、100名或150名員工的組織可能有兩處數(shù)據(jù)。一個(gè)是存儲(chǔ)庫(kù)，最常見(jiàn)的是云存儲(chǔ)庫(kù)，如OneDrive文件系統(tǒng)、Salesforce中的CRM、Business1中的ERP。所有這些存儲(chǔ)庫(kù)都是經(jīng)過(guò)管理和保護(hù)的，并且都有內(nèi)置的工具和機(jī)制，可以在任何給定時(shí)刻執(zhí)行掃描，以找到我們稱之為PII的個(gè)人識(shí)別信息。這可能包括社會(huì)安全號(hào)碼、電子郵件ID、信用卡號(hào)碼等等。

所以存儲(chǔ)庫(kù)幾乎是可管理和安全的，并且可以在任何給定的時(shí)間進(jìn)行掃描。當(dāng)這些組織變得更加精通云計(jì)算時(shí)，問(wèn)題就開始了，而這在很大程度上是由2019冠狀病毒疾病加速的。

它們已經(jīng)成為我們所說(shuō)的“局域網(wǎng)之外的組織”。因此，人們開始在家里和像WeWork這樣的協(xié)作辦公室工作，沒(méi)有局域網(wǎng)或防火墻來(lái)保護(hù)他們的數(shù)據(jù)流。

那么數(shù)據(jù)流實(shí)際上意味著什么呢？這意味著用戶在云存儲(chǔ)庫(kù)之外獲取數(shù)據(jù)。比如說(shuō)，他們拿了一份文件，附加了一些財(cái)務(wù)信息，并將其發(fā)送給會(huì)計(jì)師，或者他們做了一個(gè)記錄調(diào)解，并將其發(fā)送給賬單，或者他們用數(shù)據(jù)和數(shù)據(jù)流做了各種其他事情。

我給你舉一個(gè)我們客戶的例子，俄克拉何馬州的一個(gè)大型小便器檢測(cè)實(shí)驗(yàn)室。他們用尿液樣本做藥物檢測(cè)。他們從不同的來(lái)源收集大量數(shù)據(jù)，并從合作伙伴那里提取數(shù)據(jù)：他們進(jìn)行計(jì)費(fèi)，然后將其轉(zhuǎn)移到大型承包商，數(shù)據(jù)也通過(guò)他們流動(dòng)。因此，在這種情況下，對(duì)于一個(gè)精通云計(jì)算的組織來(lái)說(shuō)，最重要的事情是首先發(fā)現(xiàn)他們當(dāng)前的位置。發(fā)現(xiàn)你現(xiàn)在在哪里。在任何給定的時(shí)間測(cè)量存儲(chǔ)庫(kù)之外的數(shù)據(jù)，并將監(jiān)控工具置于其之上。通過(guò)提醒建筑案例并以美元衡量風(fēng)險(xiǎn)，我們可以將潛在敏感記錄的數(shù)量轉(zhuǎn)換為有形風(fēng)險(xiǎn)數(shù)字，您可以根據(jù)您的保單進(jìn)行實(shí)際測(cè)試，并最終落實(shí)風(fēng)險(xiǎn)降低工具。

我們做我們稱之為透明加密的事情，用戶不參與其中。一旦文件在組織中創(chuàng)建、提取或移動(dòng)，它將始終受到強(qiáng)加密的保護(hù)。用戶照常工作，沒(méi)有任何中斷。如果這些信息需要存放在非組織存儲(chǔ)庫(kù)中，那么我們知道如何移動(dòng)文件并刪除加密。這樣，我們實(shí)際上轉(zhuǎn)移了責(zé)任，因?yàn)檫@都是責(zé)任的游戲。如果我把數(shù)據(jù)交給我信任的人，刪除加密就沒(méi)有問(wèn)題，因?yàn)槟鞘且粋€(gè)受信任的目標(biāo)，我把責(zé)任轉(zhuǎn)移給了他們。因此，總結(jié)、發(fā)現(xiàn)、持續(xù)監(jiān)控和風(fēng)險(xiǎn)降低，通常是通過(guò)加密，這是我們推薦的工作模式，并已在我們的客戶中使用。你提到越來(lái)越多的人在家工作這一事實(shí)。您如何建議與人們正在使用的所有基于云的應(yīng)用程序進(jìn)行交互，以使他們的工作更安全

這是Actifile的一大優(yōu)點(diǎn)。我們有一項(xiàng)正在申請(qǐng)專利的技術(shù)，不需要任何集成。Actifile基于兩個(gè)組件：一個(gè)是基于Azure的云多租戶管理環(huán)境，其中每個(gè)客戶或合作伙伴都有自己的租戶和自己的配置；第二個(gè)是代理，一個(gè)小組件，我們?cè)诤笈_(tái)透明地為每個(gè)端點(diǎn)安裝。它的美妙之處在于，就Active Directory而言，它不需要集成，這意味著你不需要成為組織的一部分。

假設(shè)我是一家健康診所，與兼職承包商的醫(yī)生一起工作。所以，我可以給他們一個(gè)文件，只監(jiān)控我存儲(chǔ)庫(kù)中的信息，而不會(huì)侵犯他們的隱私。所以這個(gè)組件知道如何監(jiān)聽這些存儲(chǔ)庫(kù)。基于操作系統(tǒng)活動(dòng)，我可以分析流經(jīng)該端點(diǎn)的信息。例如，如果我從基于云的應(yīng)用程序中復(fù)制粘貼某個(gè)內(nèi)容，或者如果我操作OneDrive上共享文件夾中的某個(gè)文件，該文件會(huì)立即被標(biāo)記，并通過(guò)其所有排列進(jìn)行監(jiān)視。如果有人保存、復(fù)制粘貼或以某種方式修改它，這些操作將始終被標(biāo)記和監(jiān)視。

在您所在的行業(yè)中，您希望在未來(lái)幾年看到更多的趨勢(shì)和技術(shù)

除了中小企業(yè)（尤其是美國(guó)的中小企業(yè)）迅速采用云技術(shù)之外，我認(rèn)為更重要的是2019冠狀病毒疾病。

總結(jié)

以上是生活随笔為你收集整理的使用Actifile监视敏感文件和数据流的全部?jī)?nèi)容，希望文章能夠幫你解決所遇到的問(wèn)題。

如果覺(jué)得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。