所有企业都不希望看到因为数据泄露事故而让企业见诸报端,但是随着安全威胁的不断演化,加之不可预测的人为因素,数据泄露的风险正在不断增加。
虽然技术能够确保业务的开展、满足监管要求和保护机密数据,但是单靠技术并不够:企业必须制定一套专门的政策(标准和指示等)来规定哪些数据需要受到保护,应该在哪里执行数据安全控制,以及数据应该如何受到保护。
这也是数据丢失防护(DLP)遇到的情况。对DLP最常见的误解之一就是,认为它是一个信息安全问题。事实上,它不单单只是信息安全问题,是关系到整个企业的问题。企业所犯的***错误之一就是紧靠安全团队来部署数据保护项目。Gartner的***报告指出企业不能“简单地设置后就放着不管”,必须在初期阶段就让业务利益相关者参与进来,制定一个关于企业将如何解决数据泄露的明确的清晰的战略。
建立管理数据保护控制(政策、标准、指令和指导方针)最有效的方法是通过(了解风险并对结果有投资兴趣的)战略业务线的协作来实现,这包括,但不仅限于,法律、隐私、安全和人力资源。综合这些方面和其他利益相关者的观点,能够确保当开始执行数据保护项目时,技术控制不会成为阻碍,而是成为安全执行业务的推动者。
在实行管理控制的同时,还应该制定操作文件以确定在处理技术控制所产生的输出时,哪些团队应该参与进来。另外还应该创建事件管理工作流程以确定在分流、响应和调查阶段中需要哪些资源。有一个精简的数字调查结构能够大大减少事故发生和检测之间的差距;减少企业损害(声誉、财务等)或者正在发生的数据泄露。
“知道-做”的差距就是在实践中我们所知道的和我们做的事情之间的差距:知道我们企业的管理控制有哪些,但是选择不遵守这些控制。人为因素是最可怕的因素,因为最难预测,并且无法通过技术来控制,这也是需要管理控制的原因。
在实施管理控制之前,关键利益相关者应制定一个组织沟通策略,明确数据保护项目应该如何进行,并提供教育工具来减小“知道-做”差距。
这里有一个“知道-做”差距的例子:假设你的移动员工在与客户沟通时,没有对企业应用程序或网络的直接访问权,潜在客户要求移动员工发一份电子邮件以供日后参考,但由于这个员工没有电子邮箱平台的访问权,他会认为这一次可以使用他的公共webmail账户来向客户发送信息。
赛门铁克指出可以使用CMM(能力成熟度模型)的方法从战术反映转向积极战略来解决风险管理和合规问题。CMM的目的是为企业提供一种方法来测量现有控制的强度,同时检测哪里还有待改善。
在建立了良好的管理控制,加上对数据保护控制的成熟度评级,创造了一种瀑布效应,为加强或部署技术控制的优先级指明了方向。询问一些重要问题,例如哪些是关键数据?关键数据存储在哪里?数据是如何被使用的?如果没有对企业数据的良好理解,就不能量化相关风险以及实施适当控制。
与多个业务部门协作能够确保从一个更全面的角度来明确风险或者安全团队不知道的数据使用情况。虽然来自各个业务线的评估结果是独立的,但产生的结果能够说明应该优先哪些工作,降低风险。
数据丢失防护(DLP)是需要人力和技术力量共同支持的业务问题。部署数据保护项目对于每个企业都是必不可少的,这不应该是一个痛苦的过程。这个工作需要企业在较长的时间内投入很多资源,在部署安全控制之前制定政策不仅不会成为开展业务的障碍,而且会成为安全执行业务的平台。