企业利用DLP系统为CRM数据保驾护航_CRM

企业利用DLP系统为CRM数据保驾护航

2010/02/24

　　信息泄漏防护（又叫数据丢失防护）对安全软件来说是一项相当成熟的功能，而大多数供应商竭力宣传这类工具可以保护财务系统数据，避免未授权用户访问或传送。为什么这项功能对CRM系统来说如此重要呢？

　　客户关系管理（CRM）系统里面全是对公司来说最宝贵的数据。但是，通常CRM系统并非外部黑客觊觎的首要目标，为什么它应该是信息泄漏防护/数据丢失防护（ILP/DLP）系统需要保护的首要对象呢？

　　咱们不妨先澄清一个误解：外部黑客很少是一般企业担心的最大问题，对CRM系统来说更是如此。最大的威胁其实来自企业内部的员工，尤其是满腹牢骚的员工。考虑到当下许多员工被解雇、销售代表流动频繁，这种风险就更大了。企业员工不但可以访问数量众多的数据，还知道这些数据的意义，知道哪些数据重要、哪些数据不重要。

　　所以，你的首要任务就是防止关键的CRM数据外泄出去。根据法律，数据是公司的财产。但实际上，公司的全部联系人名单和交易历史记录都可能装在一块小小的存储卡上，很容易被藏起来、带走。虽然最完备的CRM系统拥有细粒度的控制机制（由角色层次、用户配置文件、工作流状态及应用程序逻辑来执行）和审计跟踪记录，但我还没有发现哪个CRM系统落实了合理级别的ILP功能。如果用户可以运行任何报告，他们通常就能运行几乎所有报告，然后把结果导出到CSV文件。如果用户能查看记录，他们就能把记录保存成HTML格式或打印记录。而几乎每一家CRM供应商都缺少针对访问历史的审计跟踪记录。

　　CRM系统当然提供了甚至包括拒绝读取访问在内的各项功能，但要是走此极端（拒绝读取访问）不但限制了用户的工作效率，还会向坏人透露消息：你识破了他们的意图。这时，应该使用合适的ILP/DLP工具。

　　因为SaaS的CRM系统带来了一些特别的难题，因此企业需要与ILP工具供应商紧密合作。如果企业还没有购买一款ILP工具，就要确保寻找一款能够识别数据、尤其是在Web环境下识别数据的工具。ILP工具经过轻松配置后，即可阻止CSV文件的创建，或者至少可以防止CSV文件被人以电子邮件的方式发送或被人下载。但是，你未必想要阻止所有CSV文件的使用，只是想阻止含有CRM系统内容的CSV文件。ILP工具经配置后，还能阻止HTML页面的保存或打印，但SaaS CRM系统具有的灵活性加大了描述违禁内容特点的难度。如果这让你想到了对屏幕抓取工具进行配置所带来的乐趣，就明白我所说的意思。

　　再来讨论CRM中比较系统性的ILP问题。因为真正的CRM系统是与公司其他几种数据资产集成起来的，你就需要关注全局，那样才能了解自身在安全方面的薄弱环节。CRM系统生成的数据可能会从会计、订单录入或电子商务等系统泄漏出去。CRM数据也有可能被推送到客户支持或仓库/分销软件。这些外部系统不可能拥有与CRM系统同样的安全模型，所以分析员就需要认真查找有没有漏洞和后门。

　　当然，反过来也是如此：集成服务器可能会把数量众多的客户数据从贵企业的其他地方推送到CRM系统。最引人注意的与客户财务数据有关的社会保障号码、医疗保健账号、银行账户记录以及信用卡信息。虽然把这些数据放在CRM系统都有各自的充足理由，但我们总是劝告客户：避免真地把任何敏感的客户财务数据存放到CRM数据库中。此外，如果你有欧盟国家的客户，法律要求对个人信息和敏感信息须采取特别保护。

　　最后，企业需要实施一系列ILP/CRM策略和程序，包括：

减少拥有系统管理员权限的人员的数量。

制定严格保护数据的规则（包括编辑和访问数据方面的规则）。

为处于危险之中或很快将被解雇的员工制定一套政策和方法。

关闭几乎所有用户通过应用编程接口（API）访问数据库的通道。

对于Office、Outlook、Excel、Google或其他联系人管理工具使用连接件严加限制，对于任何批量导入/导出工具也要严加限制。

ZDNet管理软件频道