敏感數(shù)據(jù)急需保護(hù)

企業(yè)數(shù)據(jù)資產(chǎn)面臨的威脅從來沒有這么大過——代價也沒有這么高過。由于員工在家辦公，或者在外出差時在咖啡館及其他異地場所辦公，無邊界企業(yè)面臨這樣的挑戰(zhàn)：需要在開放性和靈活性與安全和風(fēng)險之間尋求平衡。

然而，敏感數(shù)據(jù)的泄漏及丟失事件大多是由于員工沒有接受安全教育，結(jié)果一時疏忽把公司置于險境。因為大多數(shù)泄漏都是意外事件，公司就有機(jī)會通過對員工進(jìn)行教育、知道如何處理信息才合理，更有效地保護(hù)企業(yè)數(shù)據(jù)。下面五個辦法可以把員工變成安全資產(chǎn)，而不是安全負(fù)擔(dān)。

一、讓“確保數(shù)據(jù)安全”成為企業(yè)文化的一部分。

保護(hù)敏感信息不應(yīng)該是安全和管理團(tuán)隊的惟一責(zé)任。每個部門經(jīng)理都有責(zé)任幫助確認(rèn)及找出敏感數(shù)據(jù)，并且擬訂政策，規(guī)定員工如何合理地訪問、使用及保護(hù)數(shù)據(jù)。

已知要訪問敏感數(shù)據(jù)的每個員工都應(yīng)當(dāng)接受明確有責(zé)任保護(hù)公司數(shù)據(jù)的政策和規(guī)程方面的培訓(xùn)。這樣一來，員工和經(jīng)理都不但要為自己使用敏感數(shù)據(jù)負(fù)責(zé)，還有助于彼此監(jiān)督，確保每個人都在遵守這些政策。

二、把數(shù)據(jù)泄漏預(yù)防流程納入總的工作流當(dāng)中。

許多公司之所以對敏感數(shù)據(jù)喪失了控制權(quán)，就是因為敏感數(shù)據(jù)的識別、訪問及轉(zhuǎn)移并沒有納入總的工作流當(dāng)中。比方說，創(chuàng)建新的文檔或內(nèi)容時，有沒有分類流程來確定該運用怎樣的相應(yīng)政策?或者當(dāng)員工加入一個部門或在部門之間調(diào)換時，新老部門有沒有開始實施數(shù)據(jù)保護(hù)和訪問控制流程?另外，新的移動設(shè)備或遠(yuǎn)程開發(fā)站點會帶來新的威脅途徑，從而導(dǎo)致數(shù)據(jù)泄漏。

如果公司認(rèn)真考慮了核心流程，并且采用了適當(dāng)?shù)臄?shù)據(jù)保護(hù)步驟，就能大大降低數(shù)據(jù)泄漏風(fēng)險。

三、讓員工覺得自己是安全資產(chǎn)，而不是安全負(fù)擔(dān)。

如果員工覺得自己在保護(hù)企業(yè)數(shù)據(jù)方面的警覺性與滿足其他業(yè)務(wù)目標(biāo)方面的警覺性一樣強(qiáng)，他們就會成為對公司數(shù)據(jù)安全計劃而言極其寶貴的資產(chǎn)。

保護(hù)公司免受泄露帶來的數(shù)百萬美元的罰款及費用，與通過改進(jìn)流程或降低成本為公司節(jié)省數(shù)百萬美元一樣重要，更不用說隱私泄漏所引起的尷尬處境和信譽(yù)受損了。通過安全培訓(xùn)和意識加強(qiáng)計劃，認(rèn)清各種泄漏帶來的成本，并且知道采取哪些措施來預(yù)防泄漏，員工們就不必?fù)?dān)心面臨的挑戰(zhàn)了。

四、盡量不要出現(xiàn)所謂“無害”的違反政策行為。

盡管有許多明顯的“禁忌事項”，比如不得把公司客戶名單出售給競爭對手，但還是存在“介于灰色區(qū)”的許多違反行為;如果不對它們加以處理，可能會導(dǎo)致危害性更大的泄漏事件。這些行為包括：與其他公司的朋友共享客戶名單;把敏感數(shù)據(jù)“備份”至家庭電腦或未獲得授權(quán)的存儲設(shè)備上;把知識產(chǎn)權(quán)拷貝到USB拇指驅(qū)動器上，并帶到遠(yuǎn)程開發(fā)站點。盡管所有這些違反行為似乎對當(dāng)事員工沒有什么危害，但可能會導(dǎo)致代價慘重的泄漏事件。

此外，如果對員工采取自由放任政策，他們可能會越來越忍不住通過這些違反行為來牟利。雖然還有許多辦法可以監(jiān)控及執(zhí)行政策，但DLP(數(shù)據(jù)泄漏預(yù)防)解決方案的選擇標(biāo)準(zhǔn)應(yīng)當(dāng)包括：解決方案具有檢測相關(guān)泄漏的智能，又不會給員工帶來不便、不影響公司的生產(chǎn)力(對某些公司而言，不影響個人的生產(chǎn)力)。

五、在執(zhí)行政策的同時，對員工進(jìn)行政策方面的教育。

行之有效的數(shù)據(jù)安全政策應(yīng)當(dāng)采用“軟硬兼施”的方法。應(yīng)當(dāng)對員工進(jìn)行公司政策方面的教育，最好是在“使用時刻”(pointofuse)或“違反時刻”(pointofviolation)進(jìn)行教育。如果員工把敏感文檔拷貝至USB驅(qū)動器、從而違反了政策，這時候?qū)λ麄冞M(jìn)行教育最有效，讓他們懂得如何合理地保護(hù)公司的寶貴資產(chǎn)。如果嚴(yán)重違反了政策，DLP解決方案應(yīng)當(dāng)會阻止行為，并且告知員工的上司，以便采取合適的措施。加強(qiáng)員工在數(shù)據(jù)保護(hù)政策方面的意識(特別是在“使用時刻”)就能減少、甚至消除大部分意外或非故意出現(xiàn)的泄漏事件。

數(shù)據(jù)泄漏預(yù)防技術(shù)不僅僅應(yīng)當(dāng)監(jiān)控及預(yù)防泄漏，還有助于對員工進(jìn)行處理敏感數(shù)據(jù)的公司政策和規(guī)程方面的教育，加強(qiáng)他們在這方面的意識。由于能夠?qū)T工進(jìn)行教育，并保護(hù)網(wǎng)絡(luò)邊界和內(nèi)部端點，DLP解決方案還能通過預(yù)防數(shù)據(jù)泄漏、降低意外泄漏、要求員工要有保護(hù)敏感數(shù)據(jù)的警覺性，從而幫助員工成為安全資產(chǎn)。

然而，影響員工日?；顒拥娜魏涡录夹g(shù)都必須智能、準(zhǔn)確，從而避免降低員工的生產(chǎn)力、避免帶來沮喪情緒。一邊是需要監(jiān)控及執(zhí)行關(guān)鍵數(shù)據(jù)泄漏預(yù)防政策，另一邊是需要讓員工和管理員能夠完成工作、推動業(yè)務(wù)發(fā)展;要在兩者之間把握好一個度。

敏感信息的保護(hù)方法通過以上的介紹，不知道大家是否學(xué)會了，希望對大家有幫助。

【編輯推薦】

1. 殺毒軟件兼容的四大危害
2. 淺談企業(yè)路由器該如何設(shè)置
3. 淺談在線備份安全問題解決方法
4. 數(shù)據(jù)災(zāi)難恢復(fù)依靠備份的幾個問題
5. 企業(yè)如何切實有效保護(hù)服務(wù)器的安全