[[442114]]

【51CTO.com快譯】丟失數(shù)據(jù)可能會使企業(yè)破產(chǎn)。為了防止這種情況發(fā)生，企業(yè)必須創(chuàng)建一個數(shù)據(jù)丟失防護策略，以保護其正常運營，并且不會阻礙業(yè)務(wù)增長。

那么，人們是否知道企業(yè)內(nèi)部員工所犯的錯誤導致了近88%的數(shù)據(jù)泄露事件?或者知道遭遇數(shù)據(jù)泄露事件的企業(yè)平均損失為424萬美元?對于大公司來說，如果丟失的是至關(guān)重要的數(shù)據(jù)，其損失可能會迅速飆升。

幸運的是，創(chuàng)建數(shù)據(jù)丟失防護(DLP)策略可以幫助企業(yè)有效保護數(shù)據(jù)。有了正確的指導方針，企業(yè)可以：

• 提高安全性。
• 教授員工如何存儲數(shù)據(jù)。
• 遵守政府法規(guī)。

什么是數(shù)據(jù)丟失防護(DLP)策略?

數(shù)據(jù)丟失防護(DLP)可作為幫助企業(yè)存儲、保護和共享數(shù)據(jù)的路線圖。通過適當?shù)能浖?、硬件和員工培訓，可以防止敏感數(shù)據(jù)受到損害。數(shù)據(jù)丟失防護(DLP)策略還應(yīng)指導企業(yè)執(zhí)行和防護流程。

為什么要制定數(shù)據(jù)丟失防護策略?

在現(xiàn)代商業(yè)世界中，數(shù)據(jù)在員工和外部公司之間不斷流動。如果沒有有效的數(shù)據(jù)丟失防護(DLP)策略，企業(yè)就很難跟蹤和控制其數(shù)據(jù)。

造成這一挑戰(zhàn)的一個原因是企業(yè)員工可能使用的溝通渠道數(shù)量眾多，例如：

• 電子郵件和即時消息。
• 共享在線文件夾。
• 協(xié)作軟件，包括實時視頻。

此外，員工經(jīng)常在多個門戶中共享數(shù)據(jù)。常見的渠道包括他們的筆記本電腦、手機和云平臺。隨著在家遠程工作時代出現(xiàn)使用數(shù)據(jù)的新方法，保護數(shù)據(jù)變得更加重要。

數(shù)據(jù)丟失防護策略的工作原理

創(chuàng)建數(shù)據(jù)丟失防護策略需要企業(yè)了解其業(yè)務(wù)及其面臨的威脅。最佳策略是基于對企業(yè)獨特安全需求的徹底分析而起草的。然后，需要一套適用于其業(yè)務(wù)各個層面的特定可執(zhí)行規(guī)則。

例如，假設(shè)企業(yè)中的一名員工將敏感文件上傳到Facebook Messenger。防護軟件可能會阻止上傳并將事件報告給員工的上司。然后，該軟件可以生成報告并標記它以供進一步審查。

但軟件和類似技術(shù)只是數(shù)據(jù)丟失防護的一個組成部分。為了實現(xiàn)有效的安全性，企業(yè)還需要簽署一個IT安全團隊、適當?shù)挠布瓦m當?shù)膮f(xié)議。使用這些工具，可以處理可能發(fā)生的任何違規(guī)行為(意外或其他)。

創(chuàng)建數(shù)據(jù)丟失防護策略的6個步驟

數(shù)據(jù)丟失防護(DLP)策略可以幫助企業(yè)實現(xiàn)三個主要功能：

• 遵守有關(guān)發(fā)送、接收和存儲受保護數(shù)據(jù)的政府和行業(yè)法規(guī)。
• 保護知識產(chǎn)權(quán)和商業(yè)秘密。
• 收集有關(guān)員工、客戶、客戶和利益相關(guān)者如何訪問企業(yè)數(shù)據(jù)并與之交互的見解。

為了實現(xiàn)這些目標，需要適當?shù)臄?shù)據(jù)丟失防護(DLP)安全和審核策略。然后，當出現(xiàn)可疑的事件時，需要做好充分的準備進行調(diào)查，并采取適當?shù)男袆?。以下步驟可以幫助企業(yè)創(chuàng)建有效的數(shù)據(jù)丟失防護策略。

1.評估資源

在企業(yè)設(shè)置策略之前，需要有適當?shù)娜藛T，這些人員將在以下領(lǐng)域擁有專業(yè)知識：

• 風險分析。
• 數(shù)據(jù)保護法。
• 數(shù)據(jù)泄露響應(yīng)和報告。
• 以及培訓和意識。

某些法規(guī)(例如GDPR)甚至要求企業(yè)咨詢受過數(shù)據(jù)保護培訓的員工。

2.識別和評估敏感數(shù)據(jù)

一旦有了專家在場，就可以確定需要保護哪些數(shù)據(jù)?？梢允褂脭?shù)據(jù)發(fā)現(xiàn)和分類引擎來掃描數(shù)據(jù)庫并提供見解。

首先評估企業(yè)使用的不同類型的數(shù)據(jù)以及它們是否受政府保護(例如需要受HIPAA標準保護的醫(yī)療記錄)，還需要識別任何對業(yè)務(wù)敏感的知識產(chǎn)權(quán)和商業(yè)機密。

接下來是評估與每種類型的數(shù)據(jù)泄露相關(guān)風險的時候了。例如，與黑客竊取美國數(shù)千個客戶社會安全號碼相比，企業(yè)丟失有關(guān)內(nèi)部財務(wù)的信息可能帶來的法律風險要小一些。

3.了解數(shù)據(jù)何時面臨風險

考慮數(shù)據(jù)何時面臨危險也很重要。當企業(yè)將數(shù)據(jù)分發(fā)到外部設(shè)備、與合作伙伴共享或使用云平臺上傳或下載時，可能將不同級別和類型的風險注入到其數(shù)據(jù)結(jié)構(gòu)中。

在通常情況下，當最終用戶訪問企業(yè)數(shù)據(jù)時，其數(shù)據(jù)面臨的風險最大，例如通過打開電子郵件附件。但其數(shù)據(jù)也有可能在傳輸過程中受到損害。

為了降低這些風險，企業(yè)需要創(chuàng)建一個強大的數(shù)據(jù)丟失防護程序來考慮數(shù)據(jù)移動性和數(shù)據(jù)存儲。

4.敏感數(shù)據(jù)分類

在識別數(shù)據(jù)之后，就可以使用適當?shù)臄?shù)字簽名對其進行分類和標記。首先，企業(yè)需要將數(shù)據(jù)分為以下大類：

• 個人身份信息。
• 客戶數(shù)據(jù)。
• 支付卡信息。
• 知識產(chǎn)權(quán)和專有數(shù)據(jù)。
• 公共使用和公共領(lǐng)域數(shù)據(jù)。

從那里，可以將數(shù)據(jù)分成具有單獨標簽和處理流程的子類別。需要記住的是，不必一次做完所有事情。根據(jù)處理的數(shù)據(jù)量，必須從最敏感的信息開始，然后逐步進行。但隨著業(yè)務(wù)的增長，需要更新分類。

5.創(chuàng)建訪問控制列表

訪問控制列表概述了誰可以出于何種目的訪問哪些信息。設(shè)計訪問控制列表有兩種基本方法：

• 白名單確定誰可以訪問、使用或下載信息。
• 黑名單確定哪些人無法訪問、使用或下載信息。

企業(yè)還應(yīng)該在具有基于角色的訪問權(quán)限的應(yīng)用程序中安裝訪問控制，其示例可能包括其員工數(shù)據(jù)庫、目錄和銷售記錄。

6.設(shè)計數(shù)據(jù)結(jié)構(gòu)

一旦收集了所有信息并指定了誰可以訪問哪些信息，就可以從頭開始設(shè)計數(shù)據(jù)結(jié)構(gòu)。首先正式確定誰有權(quán)使用數(shù)據(jù)，并概述適當?shù)拇鎯痛鏅n位置，例如：

• 在特定數(shù)據(jù)庫中。
• 在云端。
• 在企業(yè)的服務(wù)中。
• 在特定硬件上。

此外，應(yīng)該建立評估數(shù)據(jù)丟失防護(DLP)供應(yīng)商的標準。通過了解什么是可接受的標準，可以做出明智的購買決定。

企業(yè)還需要考慮政府法規(guī)如何影響其政策。例如，如果處理醫(yī)療數(shù)據(jù)，則可能需要與處理財務(wù)數(shù)據(jù)不同的加密軟件或流程。

一些數(shù)據(jù)丟失防護軟件甚至提供基于HIPAA或GDPR法規(guī)的預配置模板。雖然企業(yè)不能依靠這些來代替盡職調(diào)查，但它們可以幫助其識別易受攻擊的數(shù)據(jù)。許多特定于法規(guī)的模板也可作為數(shù)據(jù)丟失防護(DLP)策略的重要證據(jù)。

實施數(shù)據(jù)丟失防護策略的5個步驟

在創(chuàng)建數(shù)據(jù)丟失防護策略后，就可以開始實施。而對于一些業(yè)務(wù)來說，這可能說起來容易做起來難。

1.設(shè)置數(shù)據(jù)檢測技術(shù)

第一步是設(shè)置數(shù)據(jù)檢測技術(shù)以保護機密信息。其可能性包括：

• 文本分析。
• 創(chuàng)建敏感數(shù)據(jù)的數(shù)字指紋。
• 并在敏感信息上貼標簽。

企業(yè)還可以確定要在財務(wù)文件和合同中掃描的軟件關(guān)鍵字。

2.加密數(shù)據(jù)

企業(yè)應(yīng)該采取措施在靜止和傳輸過程中加密所有關(guān)鍵業(yè)務(wù)數(shù)據(jù)，包括便攜式硬件上的數(shù)據(jù)。還需要安裝保護軟件以防止數(shù)據(jù)泄露和丟失，例如用于規(guī)避惡意軟件和可疑下載并加密文件的軟件。

但在這一過程中，企業(yè)還需要平衡安全性和可用性。安全性平衡可能會更好地保護信息，但會使系統(tǒng)幾乎無法供員工使用，從而降低生產(chǎn)效率。

3.開發(fā)和溝通控制

管理人員需要和IT員工一起創(chuàng)建策略。數(shù)據(jù)使用控制起初可以像針對危險行為一樣簡單。但隨著業(yè)務(wù)的成熟，將需要開發(fā)更精細的控制措施來防范惡意行為者。

此外，不要讓員工蒙在鼓里。培訓和定期再培訓可以幫助防止人為錯誤，并最大限度地減少薄弱的環(huán)節(jié)。此外，企業(yè)可能希望將數(shù)據(jù)保護政策告知其利益相關(guān)者和產(chǎn)品用戶，以保護數(shù)據(jù)。

4.制定應(yīng)對措施和后果的標準

在創(chuàng)建數(shù)據(jù)丟失防護策略時，需要概述發(fā)生數(shù)據(jù)丟失時的響應(yīng)計劃，還應(yīng)該區(qū)分不同類型的數(shù)據(jù)丟失。

例如，如果外部攻擊者竊取信用卡信息，企業(yè)應(yīng)該知道通知哪些政府部門和個人。但是，如果員工不慎下載了商業(yè)秘密，企業(yè)應(yīng)該制定適當?shù)恼邅硖幚磉@些違規(guī)行為而不侵犯他們的權(quán)利。

許多數(shù)據(jù)丟失防護(DLP)解決方案都帶有一些內(nèi)置響應(yīng)。例如，如果員工以電子郵件附件的形式上傳機密文檔，軟件可能會阻止上傳或?qū)鬏斨囟ㄏ蚪o其經(jīng)理。還可以設(shè)置即時響應(yīng)，例如向用戶發(fā)送警告，告知他們使用某些類型數(shù)據(jù)的后果。

5.記錄政策

最后，確保在執(zhí)行過程中記錄數(shù)據(jù)策略。即使還沒有準備好正式制定政策，在執(zhí)行過程中寫下一些想法，也可以幫助企業(yè)確保制定更好的政策并且易于整合。

考慮到企業(yè)政策潛在的法律后果也是很重要的，法律顧問撰寫提綱可以幫助企業(yè)了解自己的權(quán)利以及可能侵犯員工權(quán)利的地方。

例如，如果其政策包括監(jiān)控、記錄或標記員工活動，并且可能處于法律灰色地帶。如果是這樣的話，那么則是修改員工協(xié)議并設(shè)置再培訓課程的時候了。

創(chuàng)建有效的數(shù)據(jù)丟失防護策略的其他提示

此時，企業(yè)的數(shù)據(jù)丟失防護策略已接近完成。但是通過這些技巧，可以將數(shù)據(jù)丟失防護(DLP)提升到一個新的水平。

1.考慮所有形式的數(shù)據(jù)

數(shù)據(jù)丟失防護(DLP)的一個被低估的元素正在考慮處于三個主要狀態(tài)的數(shù)據(jù)：

• 靜態(tài)數(shù)據(jù)是位于數(shù)據(jù)庫、計算機、移動設(shè)備和云存儲庫中的數(shù)據(jù)。
• 動態(tài)數(shù)據(jù)是當前通過電子郵件、視頻會議或支付交易傳輸?shù)臄?shù)據(jù)。
• 使用中的數(shù)據(jù)是員工和用戶正在積極使用或修改的數(shù)據(jù)。

此外，需要概述允許的傳輸路徑、數(shù)據(jù)流以及處理、修改、打印和復制數(shù)據(jù)的規(guī)則等方面。

2.自動化是關(guān)鍵

不幸的是，人工流程的范圍通常有限，無法根據(jù)企業(yè)業(yè)務(wù)進行擴展?？梢詫崿F(xiàn)自動化的數(shù)據(jù)丟失防護(DLP)流程越多，部署起來就越容易。但自動化也會帶來風險，例如員工需要適應(yīng)電子郵件附件大小等限制。

因此，還需要預測并批準可接受的解決方案。在上面的示例中，這可能包括使用閃存驅(qū)動器或加密系統(tǒng)傳輸較大的文件。

3.定義團隊的角色

數(shù)據(jù)丟失防護(DLP)策略的一個被低估的組成部分是定義策略中涉及的每個人的角色。這包括從IT技術(shù)人員到高層管理人員再到首席執(zhí)行官的所有人。具體說明誰將：

• 擁有數(shù)據(jù)。
• 可以訪問和使用數(shù)據(jù)。
• 負責事件調(diào)查期間的哪些任務(wù)。

4.建立指標

企業(yè)可以使用事件數(shù)量、準確報告和平均響應(yīng)時間等指標來衡量策略的有效性。有了這些，就可以評估自己做得好的地方和投資回報。

5.監(jiān)控數(shù)據(jù)使用情況

一旦企業(yè)設(shè)置了系統(tǒng)，但不要忘記它。在數(shù)據(jù)丟失防護(DLP)策略生效之后，企業(yè)的團隊應(yīng)該跟蹤其數(shù)據(jù)使用情況。通過企業(yè)的軟件生成自動審計，可以深入了解數(shù)據(jù)丟失風險和管理。

6.分階段實施數(shù)據(jù)丟失防護(DLP)策略

創(chuàng)建數(shù)據(jù)丟失防護策略是一個時間和資源密集型過程，企業(yè)不希望制定一項不受員工尊重或無效的政策。畢竟，這會導致不一致并削弱安全性。

與其相反，首先從優(yōu)先處理最需要保護的數(shù)據(jù)和通道開始。這些可能包括政府監(jiān)管的數(shù)據(jù)、個人和支付信息以及商業(yè)機密。然后，可以找到保護其業(yè)務(wù)所需的適當軟件和硬件。

原文標題：How to Create a Data Loss Prevention Policy，作者：Tomas Pospisil

【51CTO譯稿，合作站點轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】