数据丢失防护:不仅仅是技术问题
来源:赛迪网 更新时间:2008-09-17

  
作 者:子鉃
    我们的信息存在哪里?使用情况如何?我们如何能够最好的保护这些信息避免丢失?这三个问题是全球的首席安全官和首席信息官的首要考虑。毕竟,在当前信息化的世界里,保护数据安全至关重要。

    根据ITPolicyComplianceGroup最近的调查,68%的企业每年至少会发生6起敏感数据泄露的事件,更有20%的企业每年发生敏感数据丢失的数量达到22起甚至更多。隐私与信息管理调查公司Ponemon Institute表示,每条数据丢失导致的损失接近200美元。

    对于这种数据丢失的持续发生,任何企业都不会坐视不理任其发展。在当前开放的世界里,企业依赖于高速带宽和移动计算环境进行各种业务,为了降低随之而来的各种风险,企业开始采用数据丢失防护。目前已有一些新兴的数据丢失防护技术,能够防止数据在信息生命周期的一点或多点丢失,包括通过网络传输时、存储保存时或在端点使用时。

    但是数据丢失防护并不仅仅是技术问题。尽管我们可以看到技术成熟度曲线以及供应商在数据丢失防护营销方面取得的最新进展,但是对于端点解决方案并没有所谓的“尚方宝剑”。

    为了保护信息,就必须要做到技术与人员和流程相结合。有效的数据丢失防护战略应当致力于降低潜在数据丢失,不仅仅要在企业部署自动化控制,更需要帮助其识别风险、制定策略和流程,并为用户提供培训。

    开始关注

    正如数据丢失防护并非仅仅是技术解决方案,信息保护也不仅仅是IT所要考虑的问题。事实上,IT部门常常并不会了解到哪些信息是机密的而哪些不是。防止数据丢失是业务问题,需要与业务相配合的解决方案。因此,在部署技术防止数据丢失之前,主要的股东和业务部门负责人必须首先一起决定哪些数据是最需要受到保护的。

    因为数据丢失防护并非仅靠IT部门便可解决,它需要不同部门给予不同方面的支持与协作,包括设备、法务遵从负责人、企业风险负责人、人力资源部门、市场营销部门以及销售部门。

    当前企业部署数据丢失防护计划需要如何开始着手进行?大多数情况下,这就意味着制定一个强制性的业务案例,确保正确的人员获得用正确语言表述的正确信息。

    以下是企业可以参考的关键步骤:

    ·选择适当的表述语言。应当从业务优势促进的角度进行表述,而并非谈论失误的威胁或恶意攻击,或是考虑潜在突发事件会造成的影响以及导致的业务损失。

    ·利用热点新闻事件来强调重要性。大多数企业负责人都在担心由于发生数据泄漏而导致的法律诉讼事件。然而类似这样的隐私和数据泄露事件还将会持续发生。通过利用这些公之于众的问题详解真正的风险,才能让企业有所警觉,即便是发生几率较低的事件,一旦发生也会造成很大的影响。

    ·建立阶段性目标。在寻求跨部门支持前,应当首先设置三个阶段性目标,并用业务术语讲解实现目标能为IT和业务带来哪些收益。

    评估风险

    明确说来,识别流程并不意味着将每条进出或存于企业内部的信息进行分级。相反的,它意味着识别出一部分信息,即一旦丢失将会对企业造成较大的负面影响的信息。这正是部署数据丢失防护后首先需要获得的信息。对于某些企业来说,这些信息会包括源代码、产品设计、以及类似的知识产权。对于其它企业来说,或许还包括用户信息或金融数据。

    一些数据丢失防护解决方案包括风险评估组件,用于2到3天为周期的网络活动监控。然后便会发送报告,表明企业有哪些数据正在通过网络向外传输,以及通过哪个部门,和向外传输的频率。这一报告能够有效的帮助企业判定风险最高的数据以及部门。

    设置策略与流程

    一旦企业已经识别出确实需要保护的数据,这些信息便会作为企业数据丢失策略的基础。企业便能够设计出流程来监控数据丢失事件,并评估该流程是否能够始终确保降低风险。在发生泄漏时,明确责任分工十分关键。一旦发生灾难,正确的人员遵循正确的流程便能降低风险。

    例如,IT安全以及相关负责人员需要被通知到。如果发现疑似恶意行为,将其发送到法务专家进行下一步了解很有必要。如果大型数据泄漏事件发生,公共关系部门便会扮演重要角色。而且,业务部门负责人也希望能够始终跟踪数据丢失风险。

    当前最全面的数据丢失防护解决方案可以帮助企业监控最重要的数据向外流出的状况,无论是通过某个网关、某个特定点或是其它。准确使用信息,对于企业定义策略并使之准确匹配十分重要。

    最新的数据丢失防护解决方案还采用了智能的事件响应功能,因此企业可以灵活的实现自动化策略执行。通过所涉及的分析和工作流程实现自动计算事件严重性并进行适当的分级执行。通过提供基于业界事件响应和修复流程的最佳实践范例,这些解决方案能够显著降低IT的配置时间。

    提高意识

    如果员工不能够充分了解企业信息资产以及个人在降低风险中扮演的角色,那么即便是最尖端的技术和流程也不能够达到预期的效果。但是通过提高意识,员工也能够成为企业保护最有价值资产的一道坚强的防线。

    如何提高?正式的安全意识培训课程当然会有一定程度的帮助,明确讲解安全策略。但是最有效的方法或许是来自于实际的操作。毕竟,许多数据泄漏都是由于一个简单的用户错误而导致的。人们会犯错,然后忘记,然后错误的理解。但是他们如果知道是错误的话,就可以进行自我纠正。

    强健的数据丢失防护解决方案不仅能够使用户较为容易的了解企业数据丢失策略,更能够帮助用户轻松的遵循这些策略执行。通过提供不同等级的实时响应,从修复到通报以及防护,数据丢失防护能够进行现场纠正。这种自动化的操作累积产生的效果将会使企业受益匪浅。事实上,财富1000强企业在部署数据丢失防护解决方案实现自动化用户通报功能的10天后,便发现数据丢失事件降低了90%。

    显然,在当前开放的世界里,各种规模的企业里的首席安全官和首席信息官都在致力于确保数据无论是在发送、存储或使用时都能够获得妥善防护。凭借数据丢失防护解决方案充分将人员、流程与技术整合在一起,企业不仅能够深入了解数据的所在位置,使用人员以及流向,更加能够有效的管理和控制当前与未来的信息风险。