所有上述因素使我们得出一个明确的结论:现代企业信息安全模型要想真正有效,必须以信息为中心,基于对数据本身及其传输和分发的各种流程的控制。
因此,设施保护手段(防火墙、代理服务器、企业门户等)对数据进行访问控制并控制其在企业信息系统之外的流动的情况下,而用户同时又努力积极广泛地使用个人设备和各种网络服务(如上所述),由于企业机密数据的存储不当(存储在组织内部用户可以无限制访问的地方)或处于不受保护的形式,企业机密数据的泄露风险会成倍增加。同时,最原始,因此最有可能的泄漏情况是使用任何个人层面可用的、不需要公司 IT 服务维护的 IT 服务。
举例来说,考虑一下内部人员在个人 Dropbox 存储中发布从 韩国电报数据 公司文件服务器获取的文档 - 该内部人员凭借其官方权力可以访问这些文档。可以假设将文档传输到Dropbox是出于好的目的,例如,以紧急模式在办公室外进行后续工作,但后果可能是绝对无法预测的,因为任何人都可以进一步访问Dropbox上的这些文档 - 并且这不是由信息安全服务决定的,而是由获得云存储访问权限的内部人员或第三方攻击者决定的(最近大量泄露电子邮件帐户和名人照片的例子仍然在每个人的嘴边)。
为了控制各种传输通道和数据存储设施,广泛使用数据泄漏防护类解决方案——DLP 系统。然而,可以想象到这样一种情况,即由于无法访问机密文件等原因,某些员工对网络服务或数据存储设备的控制将被削弱,但总能找到获取访问权限的方法,至少是通过使用社会工程方法。几乎不可能预测内部人员会使用什么技巧在办公室外访问公司文件,更不用说许多现代 DLP 系统在其可控制的渠道和服务范围方面仍然受到很大限制。还值得记住的是,许多流行的网络服务都是为了人们的方便而创建的,而不是为了确保企业的信息安全任务,因此即使组织中广泛实施了 DLP 工具,泄漏的风险仍然存在。