四、尽量不要出现所谓“无害”的违反政策行为。
尽管有许多明显的“禁忌事项”,比如不得把公司客户名单出售给竞争对手,但还是存在“介于灰色区”的许多违反行为;如果不对它们加以处理,可能会导致危害性更大的泄漏事件。这些行为包括:与其他公司的朋友共享客户名单;把敏感数据“备份”至家庭电脑或未获得授权的存储设备上;把知识产权拷贝到USB拇指驱动器上,并带到远程开发站点。尽管所有这些违反行为似乎对当事员工没有什么危害,但可能会导致代价惨重的泄漏事件。
此外,如果对员工采取自由放任政策,他们可能会越来越忍不住通过这些违反行为来牟利。虽然还有许多办法可以监控及执行政策,但DLP(数据泄漏预防)解决方案的选择标准应当包括:解决方案具有检测相关泄漏的智能,又不会给员工带来不便、不影响公司的生产力(对某些公司而言,不影响个人的生产力)。
五、在执行政策的同时,对员工进行政策方面的教育。
行之有效的数据安全政策应当采用“软硬兼施”的方法。应当对员工进行公司政策方面的教育,最好是在“使用时刻”(point of use)或“违反时刻”(point of violation)进行教育。如果员工把敏感文档拷贝至USB驱动器、从而违反了政策,这时候对他们进行教育最有效,让他们懂得如何合理地保护公司的宝贵资产。如果严重违反了政策,DLP解决方案应当会阻止行为,并且告知员工的上司,以便采取合适的措施。加强员工在数据保护政策方面的意识(特别是在“使用时刻”)就能减少、甚至消除大部分意外或非故意出现的泄漏事件。
数据泄漏预防技术不仅仅应当监控及预防泄漏,还有助于对员工进行处理敏感数据的公司政策和规程方面的教育,加强他们在这方面的意识。由于能够对员工进行教育,并保护网络边界和内部端点,DLP解决方案还能通过预防数据泄漏、降低意外泄漏、要求员工要有保护敏感数据的警觉性,从而帮助员工成为安全资产。
然而,影响员工日常活动的任何新技术都必须智能、准确,从而避免降低员工的生产力、避免带来沮丧情绪。一边是需要监控及执行关键数据泄漏预防政策,另一边是需要让员工和管理员能够完成工作、推动业务发展;要在两者之间把握好一个度。