从BS7799到ISO27001,我们看到了什么?信息安全管理系统涵盖的范围愈来愈全面,企业从风险评鉴的过程当中看到了资安危机,所以这些年来,几乎是全员皆动,资安政策的不适应也变成自然遵守,靠的就是员工使用习惯的改善。
而计算机处理个人资料保护法到个人资料保护法,我们又看到了什么?原来个人资料这么值钱!!这是很多客户看到个人信息法的罚则后第一个提到的问题,而且已不再是纯计算机里的个人资料,举凡电子及实体记录的个人资料皆在本法保护范围内,但企业最担心的还是电子数据的个人信息在哪?该如何保护?该如何确保已尽善良管理人责任?企业即将面临的种种挑战,我们首先想到的解决方案,就是目前最热门的DLP (Data Loss Prevention)。
重点1:资料外泄问题的三个面向
然在导入DLP解决方案前,必须了解一个观念:DLP不是个人信息保护的唯一工具,也不是一劳永逸的工具,虽然,DLP的确是一套管理外泄风险的有效工具,但我们所面临的外泄问题,必须从以下三个面向来探讨:
1、管理风险与确保政府法规遵循:
在布满个人信息的企业环境里,必须先要了解这些个人信息所存在的风险因素,因为每份个人信息都有其价值性,依据每种价值度的高低,及外泄后对企业的影响力,订定风险值,再者,对于个人信息法的相关要求(例如:利用、传输),是否有相关记录进行存查,以确保外泄事件发生后能提供完善保护责任之证据。
2、数据在哪里?
电子数据无时无刻都在流动,不管这些个人信息目前存在主机、数据库、个人计算机上、甚至是储存媒体内,都必须进行清查作业,以避免是否有个人信息曝露在高风险的设备上。
3、审视作业流程:
企业对于个人信息存取流程是否有误,这在DLP导入时是很重要的一个环节,否则员工都可以存取个人信息(员工、客户、厂商),那就不知谁才是属于违法存取的员工了。
重点2:个人信息法要求 组织应正视数据防护的问题
个人信息无所不在,然最重要却不是一套最完善的DLP,而是人,个人信息防护最重要的不是导入一个多严密的防护系统,而是避免人为操作失当、疏忽、恶意所造成的外泄风险,当然组织也不能因为个人信息法的缘故,让员工恢复以前的纸本作业,这就等于为了节能都不准用电的意思一样,所以除了透过科技手法外,也要使用奖惩方式来规范员工行为。
当然,在导入DLP前,企业需先思考,外泄管道为何?如果企业的对外网络服务皆为自建自管(Web、Mail、DNS……等),就要考虑外部防护解决方案(Web AP Firewall、 IPS……等),如果为员工外泄就必须要限制使用者行为。
问题在于管理使用者是一门大学问,处理的好相安无事,处理不好,造成对公司反感,甚至故意破坏及盗取数据,所以,针对用户就要试想哪种管理方式比较好,如:封锁使用设备或网络服务(USB/Web/FTP/IM),还是监控网络使用内容。
重点3:我该如何选择DLP?
市场上已有很多厂商提供了很好的DLP解决方案,组织该如何选择,并没有对或错,但在功能选择上还是可以多加留意,包括了:
1、软/硬件的差别:
目前市面上大部份的DLP解决方案都是以软件为主,但开始有厂商提供了专属设备,主要是因为DLP需要监控网络封包,这时硬件的效能就很重要了,所以专属设备对于软件优化来说就非常好,但如遇到组织成员扩增时,专属设备就显得没有弹性了,而软件没有专属设备,所以可以依据组织成员规模布署适合的设备,当然也可以预留升级的空间,但因不是专属设备,所以并未对软件进行优化,所以设备效能各方面都必须考虑(CPU、RAM、I/O、Network)。
2、保护标的物:
举凡存放个人信息的所有主机与数据库,或是用户的个人计算机与移动设备,甚至储存媒体与组织对外的所有网络服务,都应纳入保护的重要标的物,当然DLP并非一劳永逸的工具,所以搭配防火墙进行对外网络服务的封锁,是比较适当的作法。以下为企业可以监看的档案类形:
A、于网络端可以监控的类型:像是HTTP(S)、WebMail、社群、Web HD、FTP、IM及组织使用之邮件系统等
B、于使用者端可以监控的类型:像是个人信息档案移动、档案内容拷贝、媒体复制、打印机、上网行为甚至透过SmartPhone同步数据。
3、内建范本:
从BS10012、PCI、HIPPA、或是各国个人信息法令要求规范,这些都是与我国个人信息法都有涵盖的范围,所以为了有效设定正确的DLP防范政策,这些都是可以参考调整的政策模板,当然有些业者甚至还有提供我国个人信息法的政策范本,值得让需要导入的读者参考,最后要提的是,评估政策模板不在于数量多寡,而是能否自行调整政策,让我们设计与组织最适合的政策并符合个人信息法,这才是我们所需要的。
4、用户许可证与整合性:
台湾很多都是中小企业起家,甚至网络商店业者,但员工数量却是屈指可数,几乎很多都是微型企业,不过这些企业手上都拥有大量可观的个人资料,但在导入DLP的第一步,可能就会遇到用户许可证的难题,有些业者的DLP最少是50或100人为一个基数,但网络商店业者的员工人数可能只有5人,却要买100人授权,这个问题就需要业者思考对于基数的调整了。#p#
另外就是整合性的问题,无论保护标的物是主机或是个人端设备,一定都已安装防病毒软件,也已行之有年了,若能让Endpoint端监控程序与防病毒软件整合在一起,除了管理容易外,对于端点设备的资源负载也减轻不少。
重点4:为何导入DLP会失败?
前面提过DLP不是一劳永逸的工具,并非一帖见效保证成功的药材,所以在导入前,整个组织在个人信息的安全维护计划一定要够周延,否则DLP充其量只是个空壳子,终究无法发挥最大的效果,以下简单列出导入DLP的成功关键。
1、订定个人信息的相关政策与程序
清查与明白个人信息存放位置与个人信息访问控制列表的建立是非常重要的,这悠关对于DLP的特征比对政策是否有效,另外对于个人信息搜集处理利用及传输之使用限制,也必须明订清楚,有了这些使用限制,管理者也就可以依规定来制定DLP个人信息政策。
2、倡导与训练
从以往信息安全训练就已是组织内基础知识的一环,所以对于个人信息安全的倡导并不会有太多阻力,只是,在明确定义个人信息与适用法规时,是有对员工加强倡导的必要性,另外每个员工都有保护个人信息的相关责任与权力义务,也都必须让员工清楚,避免造成作业疏失个人信息外泄。
3、应配合相关端点管理
除了DLP防范个人信息外泄外,对于端点的软件安装、系统设定的权限限制等,也必须多方考虑,因为使用者的行为往往让人意想不到,所以对于网络服务限制、加密硬盘与USB、甚至OTP都必须考虑,务必做到个人信息防范滴水不漏。
4、谁该看?
从以前有关员工行为管理解决方案的记录里,就一直在讨论这个问题,当然DLP也不例外,主要也是这些被拦截的任何个人信息,在DLP上都看的清清楚楚,不管是信件内容、网页内容、甚至传送出去的任何档案,都可以开启,如果DLP的管理人员都可以看,是否又是另一条外泄管道?所以DLP的权责分工与权限最小化,是相当重要的议题,另外DLP记录稽核作业,也是要注意的部份,本文最后答案并不会左右管理者谁该看,而是让组织内的相关人员可以思考这个问题。
结论
DLP虽然是这几年才有的解决方案,但我们如果把这些相关功能拆解开来,各位读者是否也有似曾相识的感觉呢?个人信息外泄这个议题,除了有效的科技手法外,制度面与人员的倡导也是缺一不可,否则企业买到的工具永远只是一个空壳、无法发挥效益。
【编辑推荐】
