[[442114]]

【51CTO.com快譯】丟失數(shù)據(jù)可能會使企業(yè)破產(chǎn)。為了防止這種情況發(fā)生，企業(yè)必須創(chuàng)建一個數(shù)據(jù)丟失防護(hù)策略，以保護(hù)其正常運(yùn)營，并且不會阻礙業(yè)務(wù)增長。

那么，人們是否知道企業(yè)內(nèi)部員工所犯的錯誤導(dǎo)致了近88%的數(shù)據(jù)泄露事件?或者知道遭遇數(shù)據(jù)泄露事件的企業(yè)平均損失為424萬美元?對于大公司來說，如果丟失的是至關(guān)重要的數(shù)據(jù)，其損失可能會迅速飆升。

幸運(yùn)的是，創(chuàng)建數(shù)據(jù)丟失防護(hù)(DLP)策略可以幫助企業(yè)有效保護(hù)數(shù)據(jù)。有了正確的指導(dǎo)方針，企業(yè)可以：

• 提高安全性。
• 教授員工如何存儲數(shù)據(jù)。
• 遵守政府法規(guī)。

什么是數(shù)據(jù)丟失防護(hù)(DLP)策略?

數(shù)據(jù)丟失防護(hù)(DLP)可作為幫助企業(yè)存儲、保護(hù)和共享數(shù)據(jù)的路線圖。通過適當(dāng)?shù)能浖?、硬件和員工培訓(xùn)，可以防止敏感數(shù)據(jù)受到損害。數(shù)據(jù)丟失防護(hù)(DLP)策略還應(yīng)指導(dǎo)企業(yè)執(zhí)行和防護(hù)流程。

為什么要制定數(shù)據(jù)丟失防護(hù)策略?

在現(xiàn)代商業(yè)世界中，數(shù)據(jù)在員工和外部公司之間不斷流動。如果沒有有效的數(shù)據(jù)丟失防護(hù)(DLP)策略，企業(yè)就很難跟蹤和控制其數(shù)據(jù)。

造成這一挑戰(zhàn)的一個原因是企業(yè)員工可能使用的溝通渠道數(shù)量眾多，例如：

• 電子郵件和即時消息。
• 共享在線文件夾。
• 協(xié)作軟件，包括實(shí)時視頻。

此外，員工經(jīng)常在多個門戶中共享數(shù)據(jù)。常見的渠道包括他們的筆記本電腦、手機(jī)和云平臺。隨著在家遠(yuǎn)程工作時代出現(xiàn)使用數(shù)據(jù)的新方法，保護(hù)數(shù)據(jù)變得更加重要。

數(shù)據(jù)丟失防護(hù)策略的工作原理

創(chuàng)建數(shù)據(jù)丟失防護(hù)策略需要企業(yè)了解其業(yè)務(wù)及其面臨的威脅。最佳策略是基于對企業(yè)獨(dú)特安全需求的徹底分析而起草的。然后，需要一套適用于其業(yè)務(wù)各個層面的特定可執(zhí)行規(guī)則。

例如，假設(shè)企業(yè)中的一名員工將敏感文件上傳到Facebook Messenger。防護(hù)軟件可能會阻止上傳并將事件報(bào)告給員工的上司。然后，該軟件可以生成報(bào)告并標(biāo)記它以供進(jìn)一步審查。

但軟件和類似技術(shù)只是數(shù)據(jù)丟失防護(hù)的一個組成部分。為了實(shí)現(xiàn)有效的安全性，企業(yè)還需要簽署一個IT安全團(tuán)隊(duì)、適當(dāng)?shù)挠布瓦m當(dāng)?shù)膮f(xié)議。使用這些工具，可以處理可能發(fā)生的任何違規(guī)行為(意外或其他)。

創(chuàng)建數(shù)據(jù)丟失防護(hù)策略的6個步驟

數(shù)據(jù)丟失防護(hù)(DLP)策略可以幫助企業(yè)實(shí)現(xiàn)三個主要功能：

• 遵守有關(guān)發(fā)送、接收和存儲受保護(hù)數(shù)據(jù)的政府和行業(yè)法規(guī)。
• 保護(hù)知識產(chǎn)權(quán)和商業(yè)秘密。
• 收集有關(guān)員工、客戶、客戶和利益相關(guān)者如何訪問企業(yè)數(shù)據(jù)并與之交互的見解。

為了實(shí)現(xiàn)這些目標(biāo)，需要適當(dāng)?shù)臄?shù)據(jù)丟失防護(hù)(DLP)安全和審核策略。然后，當(dāng)出現(xiàn)可疑的事件時，需要做好充分的準(zhǔn)備進(jìn)行調(diào)查，并采取適當(dāng)?shù)男袆?。以下步驟可以幫助企業(yè)創(chuàng)建有效的數(shù)據(jù)丟失防護(hù)策略。

1.評估資源

在企業(yè)設(shè)置策略之前，需要有適當(dāng)?shù)娜藛T，這些人員將在以下領(lǐng)域擁有專業(yè)知識：

• 風(fēng)險分析。
• 數(shù)據(jù)保護(hù)法。
• 數(shù)據(jù)泄露響應(yīng)和報(bào)告。
• 以及培訓(xùn)和意識。

某些法規(guī)(例如GDPR)甚至要求企業(yè)咨詢受過數(shù)據(jù)保護(hù)培訓(xùn)的員工。

2.識別和評估敏感數(shù)據(jù)

一旦有了專家在場，就可以確定需要保護(hù)哪些數(shù)據(jù)。可以使用數(shù)據(jù)發(fā)現(xiàn)和分類引擎來掃描數(shù)據(jù)庫并提供見解。

首先評估企業(yè)使用的不同類型的數(shù)據(jù)以及它們是否受政府保護(hù)(例如需要受HIPAA標(biāo)準(zhǔn)保護(hù)的醫(yī)療記錄)，還需要識別任何對業(yè)務(wù)敏感的知識產(chǎn)權(quán)和商業(yè)機(jī)密。

接下來是評估與每種類型的數(shù)據(jù)泄露相關(guān)風(fēng)險的時候了。例如，與黑客竊取美國數(shù)千個客戶社會安全號碼相比，企業(yè)丟失有關(guān)內(nèi)部財(cái)務(wù)的信息可能帶來的法律風(fēng)險要小一些。

3.了解數(shù)據(jù)何時面臨風(fēng)險

考慮數(shù)據(jù)何時面臨危險也很重要。當(dāng)企業(yè)將數(shù)據(jù)分發(fā)到外部設(shè)備、與合作伙伴共享或使用云平臺上傳或下載時，可能將不同級別和類型的風(fēng)險注入到其數(shù)據(jù)結(jié)構(gòu)中。

在通常情況下，當(dāng)最終用戶訪問企業(yè)數(shù)據(jù)時，其數(shù)據(jù)面臨的風(fēng)險最大，例如通過打開電子郵件附件。但其數(shù)據(jù)也有可能在傳輸過程中受到損害。

為了降低這些風(fēng)險，企業(yè)需要創(chuàng)建一個強(qiáng)大的數(shù)據(jù)丟失防護(hù)程序來考慮數(shù)據(jù)移動性和數(shù)據(jù)存儲。

4.敏感數(shù)據(jù)分類

在識別數(shù)據(jù)之后，就可以使用適當(dāng)?shù)臄?shù)字簽名對其進(jìn)行分類和標(biāo)記。首先，企業(yè)需要將數(shù)據(jù)分為以下大類：

• 個人身份信息。
• 客戶數(shù)據(jù)。
• 支付卡信息。
• 知識產(chǎn)權(quán)和專有數(shù)據(jù)。
• 公共使用和公共領(lǐng)域數(shù)據(jù)。

從那里，可以將數(shù)據(jù)分成具有單獨(dú)標(biāo)簽和處理流程的子類別。需要記住的是，不必一次做完所有事情。根據(jù)處理的數(shù)據(jù)量，必須從最敏感的信息開始，然后逐步進(jìn)行。但隨著業(yè)務(wù)的增長，需要更新分類。

5.創(chuàng)建訪問控制列表

訪問控制列表概述了誰可以出于何種目的訪問哪些信息。設(shè)計(jì)訪問控制列表有兩種基本方法：

• 白名單確定誰可以訪問、使用或下載信息。
• 黑名單確定哪些人無法訪問、使用或下載信息。

企業(yè)還應(yīng)該在具有基于角色的訪問權(quán)限的應(yīng)用程序中安裝訪問控制，其示例可能包括其員工數(shù)據(jù)庫、目錄和銷售記錄。

6.設(shè)計(jì)數(shù)據(jù)結(jié)構(gòu)

一旦收集了所有信息并指定了誰可以訪問哪些信息，就可以從頭開始設(shè)計(jì)數(shù)據(jù)結(jié)構(gòu)。首先正式確定誰有權(quán)使用數(shù)據(jù)，并概述適當(dāng)?shù)拇鎯痛鏅n位置，例如：

• 在特定數(shù)據(jù)庫中。
• 在云端。
• 在企業(yè)的服務(wù)中。
• 在特定硬件上。

此外，應(yīng)該建立評估數(shù)據(jù)丟失防護(hù)(DLP)供應(yīng)商的標(biāo)準(zhǔn)。通過了解什么是可接受的標(biāo)準(zhǔn)，可以做出明智的購買決定。

企業(yè)還需要考慮政府法規(guī)如何影響其政策。例如，如果處理醫(yī)療數(shù)據(jù)，則可能需要與處理財(cái)務(wù)數(shù)據(jù)不同的加密軟件或流程。

一些數(shù)據(jù)丟失防護(hù)軟件甚至提供基于HIPAA或GDPR法規(guī)的預(yù)配置模板。雖然企業(yè)不能依靠這些來代替盡職調(diào)查，但它們可以幫助其識別易受攻擊的數(shù)據(jù)。許多特定于法規(guī)的模板也可作為數(shù)據(jù)丟失防護(hù)(DLP)策略的重要證據(jù)。

實(shí)施數(shù)據(jù)丟失防護(hù)策略的5個步驟

在創(chuàng)建數(shù)據(jù)丟失防護(hù)策略后，就可以開始實(shí)施。而對于一些業(yè)務(wù)來說，這可能說起來容易做起來難。

1.設(shè)置數(shù)據(jù)檢測技術(shù)

第一步是設(shè)置數(shù)據(jù)檢測技術(shù)以保護(hù)機(jī)密信息。其可能性包括：

• 文本分析。
• 創(chuàng)建敏感數(shù)據(jù)的數(shù)字指紋。
• 并在敏感信息上貼標(biāo)簽。

企業(yè)還可以確定要在財(cái)務(wù)文件和合同中掃描的軟件關(guān)鍵字。

2.加密數(shù)據(jù)

企業(yè)應(yīng)該采取措施在靜止和傳輸過程中加密所有關(guān)鍵業(yè)務(wù)數(shù)據(jù)，包括便攜式硬件上的數(shù)據(jù)。還需要安裝保護(hù)軟件以防止數(shù)據(jù)泄露和丟失，例如用于規(guī)避惡意軟件和可疑下載并加密文件的軟件。

但在這一過程中，企業(yè)還需要平衡安全性和可用性。安全性平衡可能會更好地保護(hù)信息，但會使系統(tǒng)幾乎無法供員工使用，從而降低生產(chǎn)效率。

3.開發(fā)和溝通控制

管理人員需要和IT員工一起創(chuàng)建策略。數(shù)據(jù)使用控制起初可以像針對危險行為一樣簡單。但隨著業(yè)務(wù)的成熟，將需要開發(fā)更精細(xì)的控制措施來防范惡意行為者。

此外，不要讓員工蒙在鼓里。培訓(xùn)和定期再培訓(xùn)可以幫助防止人為錯誤，并最大限度地減少薄弱的環(huán)節(jié)。此外，企業(yè)可能希望將數(shù)據(jù)保護(hù)政策告知其利益相關(guān)者和產(chǎn)品用戶，以保護(hù)數(shù)據(jù)。

4.制定應(yīng)對措施和后果的標(biāo)準(zhǔn)

在創(chuàng)建數(shù)據(jù)丟失防護(hù)策略時，需要概述發(fā)生數(shù)據(jù)丟失時的響應(yīng)計(jì)劃，還應(yīng)該區(qū)分不同類型的數(shù)據(jù)丟失。

例如，如果外部攻擊者竊取信用卡信息，企業(yè)應(yīng)該知道通知哪些政府部門和個人。但是，如果員工不慎下載了商業(yè)秘密，企業(yè)應(yīng)該制定適當(dāng)?shù)恼邅硖幚磉@些違規(guī)行為而不侵犯他們的權(quán)利。

許多數(shù)據(jù)丟失防護(hù)(DLP)解決方案都帶有一些內(nèi)置響應(yīng)。例如，如果員工以電子郵件附件的形式上傳機(jī)密文檔，軟件可能會阻止上傳或?qū)鬏斨囟ㄏ蚪o其經(jīng)理。還可以設(shè)置即時響應(yīng)，例如向用戶發(fā)送警告，告知他們使用某些類型數(shù)據(jù)的后果。

5.記錄政策

最后，確保在執(zhí)行過程中記錄數(shù)據(jù)策略。即使還沒有準(zhǔn)備好正式制定政策，在執(zhí)行過程中寫下一些想法，也可以幫助企業(yè)確保制定更好的政策并且易于整合。

考慮到企業(yè)政策潛在的法律后果也是很重要的，法律顧問撰寫提綱可以幫助企業(yè)了解自己的權(quán)利以及可能侵犯員工權(quán)利的地方。

例如，如果其政策包括監(jiān)控、記錄或標(biāo)記員工活動，并且可能處于法律灰色地帶。如果是這樣的話，那么則是修改員工協(xié)議并設(shè)置再培訓(xùn)課程的時候了。

創(chuàng)建有效的數(shù)據(jù)丟失防護(hù)策略的其他提示

此時，企業(yè)的數(shù)據(jù)丟失防護(hù)策略已接近完成。但是通過這些技巧，可以將數(shù)據(jù)丟失防護(hù)(DLP)提升到一個新的水平。

1.考慮所有形式的數(shù)據(jù)

數(shù)據(jù)丟失防護(hù)(DLP)的一個被低估的元素正在考慮處于三個主要狀態(tài)的數(shù)據(jù)：

• 靜態(tài)數(shù)據(jù)是位于數(shù)據(jù)庫、計(jì)算機(jī)、移動設(shè)備和云存儲庫中的數(shù)據(jù)。
• 動態(tài)數(shù)據(jù)是當(dāng)前通過電子郵件、視頻會議或支付交易傳輸?shù)臄?shù)據(jù)。
• 使用中的數(shù)據(jù)是員工和用戶正在積極使用或修改的數(shù)據(jù)。

此外，需要概述允許的傳輸路徑、數(shù)據(jù)流以及處理、修改、打印和復(fù)制數(shù)據(jù)的規(guī)則等方面。

2.自動化是關(guān)鍵

不幸的是，人工流程的范圍通常有限，無法根據(jù)企業(yè)業(yè)務(wù)進(jìn)行擴(kuò)展?？梢詫?shí)現(xiàn)自動化的數(shù)據(jù)丟失防護(hù)(DLP)流程越多，部署起來就越容易。但自動化也會帶來風(fēng)險，例如員工需要適應(yīng)電子郵件附件大小等限制。

因此，還需要預(yù)測并批準(zhǔn)可接受的解決方案。在上面的示例中，這可能包括使用閃存驅(qū)動器或加密系統(tǒng)傳輸較大的文件。

3.定義團(tuán)隊(duì)的角色

數(shù)據(jù)丟失防護(hù)(DLP)策略的一個被低估的組成部分是定義策略中涉及的每個人的角色。這包括從IT技術(shù)人員到高層管理人員再到首席執(zhí)行官的所有人。具體說明誰將：

• 擁有數(shù)據(jù)。
• 可以訪問和使用數(shù)據(jù)。
• 負(fù)責(zé)事件調(diào)查期間的哪些任務(wù)。

4.建立指標(biāo)

企業(yè)可以使用事件數(shù)量、準(zhǔn)確報(bào)告和平均響應(yīng)時間等指標(biāo)來衡量策略的有效性。有了這些，就可以評估自己做得好的地方和投資回報(bào)。

5.監(jiān)控?cái)?shù)據(jù)使用情況

一旦企業(yè)設(shè)置了系統(tǒng)，但不要忘記它。在數(shù)據(jù)丟失防護(hù)(DLP)策略生效之后，企業(yè)的團(tuán)隊(duì)?wèi)?yīng)該跟蹤其數(shù)據(jù)使用情況。通過企業(yè)的軟件生成自動審計(jì)，可以深入了解數(shù)據(jù)丟失風(fēng)險和管理。

6.分階段實(shí)施數(shù)據(jù)丟失防護(hù)(DLP)策略

創(chuàng)建數(shù)據(jù)丟失防護(hù)策略是一個時間和資源密集型過程，企業(yè)不希望制定一項(xiàng)不受員工尊重或無效的政策。畢竟，這會導(dǎo)致不一致并削弱安全性。

與其相反，首先從優(yōu)先處理最需要保護(hù)的數(shù)據(jù)和通道開始。這些可能包括政府監(jiān)管的數(shù)據(jù)、個人和支付信息以及商業(yè)機(jī)密。然后，可以找到保護(hù)其業(yè)務(wù)所需的適當(dāng)軟件和硬件。

原文標(biāo)題：How to Create a Data Loss Prevention Policy，作者：Tomas Pospisil

【51CTO譯稿，合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】