所有企業(yè)都不希望看到因為數(shù)據(jù)泄露事故而讓企業(yè)見諸報端，但是隨著安全威脅的不斷演化，加之不可預(yù)測的人為因素，數(shù)據(jù)泄露的風(fēng)險正在不斷增加。

雖然技術(shù)能夠確保業(yè)務(wù)的開展、滿足監(jiān)管要求和保護機密數(shù)據(jù)，但是單靠技術(shù)并不夠：企業(yè)必須制定一套專門的政策(標(biāo)準(zhǔn)和指示等)來規(guī)定哪些數(shù)據(jù)需要受到保護，應(yīng)該在哪里執(zhí)行數(shù)據(jù)安全控制，以及數(shù)據(jù)應(yīng)該如何受到保護。

[[66161]]

這也是數(shù)據(jù)丟失防護(DLP)遇到的情況。對DLP最常見的誤解之一就是，認(rèn)為它是一個信息安全問題。事實上，它不單單只是信息安全問題，是關(guān)系到整個企業(yè)的問題。企業(yè)所犯的***錯誤之一就是緊靠安全團隊來部署數(shù)據(jù)保護項目。Gartner的***報告指出企業(yè)不能“簡單地設(shè)置后就放著不管”，必須在初期階段就讓業(yè)務(wù)利益相關(guān)者參與進來，制定一個關(guān)于企業(yè)將如何解決數(shù)據(jù)泄露的明確的清晰的戰(zhàn)略。

建立管理數(shù)據(jù)保護控制(政策、標(biāo)準(zhǔn)、指令和指導(dǎo)方針)最有效的方法是通過(了解風(fēng)險并對結(jié)果有投資興趣的)戰(zhàn)略業(yè)務(wù)線的協(xié)作來實現(xiàn)，這包括，但不僅限于，法律、隱私、安全和人力資源。綜合這些方面和其他利益相關(guān)者的觀點，能夠確保當(dāng)開始執(zhí)行數(shù)據(jù)保護項目時，技術(shù)控制不會成為阻礙，而是成為安全執(zhí)行業(yè)務(wù)的推動者。

在實行管理控制的同時，還應(yīng)該制定操作文件以確定在處理技術(shù)控制所產(chǎn)生的輸出時，哪些團隊?wèi)?yīng)該參與進來。另外還應(yīng)該創(chuàng)建事件管理工作流程以確定在分流、響應(yīng)和調(diào)查階段中需要哪些資源。有一個精簡的數(shù)字調(diào)查結(jié)構(gòu)能夠大大減少事故發(fā)生和檢測之間的差距;減少企業(yè)損害(聲譽、財務(wù)等)或者正在發(fā)生的數(shù)據(jù)泄露。

“知道-做”的差距就是在實踐中我們所知道的和我們做的事情之間的差距：知道我們企業(yè)的管理控制有哪些，但是選擇不遵守這些控制。人為因素是最可怕的因素，因為最難預(yù)測，并且無法通過技術(shù)來控制，這也是需要管理控制的原因。

在實施管理控制之前，關(guān)鍵利益相關(guān)者應(yīng)制定一個組織溝通策略，明確數(shù)據(jù)保護項目應(yīng)該如何進行，并提供教育工具來減小“知道-做”差距。

這里有一個“知道-做”差距的例子：假設(shè)你的移動員工在與客戶溝通時，沒有對企業(yè)應(yīng)用程序或網(wǎng)絡(luò)的直接訪問權(quán)，潛在客戶要求移動員工發(fā)一份電子郵件以供日后參考，但由于這個員工沒有電子郵箱平臺的訪問權(quán)，他會認(rèn)為這一次可以使用他的公共webmail賬戶來向客戶發(fā)送信息。

賽門鐵克指出可以使用CMM(能力成熟度模型)的方法從戰(zhàn)術(shù)反映轉(zhuǎn)向積極戰(zhàn)略來解決風(fēng)險管理和合規(guī)問題。CMM的目的是為企業(yè)提供一種方法來測量現(xiàn)有控制的強度，同時檢測哪里還有待改善。

在建立了良好的管理控制，加上對數(shù)據(jù)保護控制的成熟度評級，創(chuàng)造了一種瀑布效應(yīng)，為加強或部署技術(shù)控制的優(yōu)先級指明了方向。詢問一些重要問題，例如哪些是關(guān)鍵數(shù)據(jù)?關(guān)鍵數(shù)據(jù)存儲在哪里?數(shù)據(jù)是如何被使用的?如果沒有對企業(yè)數(shù)據(jù)的良好理解，就不能量化相關(guān)風(fēng)險以及實施適當(dāng)控制。

與多個業(yè)務(wù)部門協(xié)作能夠確保從一個更全面的角度來明確風(fēng)險或者安全團隊不知道的數(shù)據(jù)使用情況。雖然來自各個業(yè)務(wù)線的評估結(jié)果是獨立的，但產(chǎn)生的結(jié)果能夠說明應(yīng)該優(yōu)先哪些工作，降低風(fēng)險。

數(shù)據(jù)丟失防護(DLP)是需要人力和技術(shù)力量共同支持的業(yè)務(wù)問題。部署數(shù)據(jù)保護項目對于每個企業(yè)都是必不可少的，這不應(yīng)該是一個痛苦的過程。這個工作需要企業(yè)在較長的時間內(nèi)投入很多資源，在部署安全控制之前制定政策不僅不會成為開展業(yè)務(wù)的障礙，而且會成為安全執(zhí)行業(yè)務(wù)的平臺。