【IT168专稿】企业数据资产面临的威胁从来没有这么大过——代价也没有这么高过。据行业监测机构Attrition.org声称,到2007年12月为止,在美国国内和国外被泄漏的记录超过1.62亿条,比如信用卡号和社会保障号。身份失窃资源中心表示,到2007年12月18日为止,在美国国内被泄漏的记录超过7900万条。这比2006年被泄漏的2000万条记录增长了近四倍。
消息传送系统、无线网络和USB存储设备数量激增,导致保护企业的关键数据比过去来得还要困难。如今许多企业作为“无边界”组织来运营,员工和合作伙伴在全球范围内共享信息,这个现象越来越常见。
由于员工在家办公,或者在外出差时在咖啡馆及其他异地场所办公,这种无边界企业面临这样的挑战:需要在开放性和灵活性与安全和风险之间寻求平衡。然而,敏感数据的泄漏及丢失事件大多是由于员工没有接受安全教育,结果一时疏忽把公司置于险境。因为大多数泄漏都是意外事件,公司就有机会通过对员工进行教育、知道如何处理信息才合理,更有效地保护企业数据。
下面五个办法可以把员工变成安全资产,而不是安全负担。
一、让“确保数据安全”成为企业文化的一部分。
保护敏感信息不应该是安全和管理团队的惟一责任。每个部门经理都有责任帮助确认及找出敏感数据,并且拟订政策,规定员工如何合理地访问、使用及保护数据。
已知要访问敏感数据的每个员工都应当接受明确有责任保护公司数据的政策和规程方面的培训。这样一来,员工和经理都不但要为自己使用敏感数据负责,还有助于彼此监督,确保每个人都在遵守这些政策。
二、把数据泄漏预防流程纳入总的工作流当中。
许多公司之所以对敏感数据丧失了控制权,就是因为敏感数据的识别、访问及转移并没有纳入总的工作流当中。比方说,创建新的文档或内容时,有没有分类流程来确定该运用怎样的相应政策?或者当员工加入一个部门或在部门之间调换时,新老部门有没有开始实施数据保护和访问控制流程?另外,新的移动设备或远程开发站点会带来新的威胁途径,从而导致数据泄漏。
如果公司认真考虑了核心流程,并且采用了适当的数据保护步骤,就能大大降低数据泄漏风险。
三、让员工觉得自己是安全资产,而不是安全负担。
如果员工觉得自己在保护企业数据方面的警觉性与满足其他业务目标方面的警觉性一样强,他们就会成为对公司数据安全计划而言极其宝贵的资产。
保护公司免受泄露带来的数百万美元的罚款及费用,与通过改进流程或降低成本为公司节省数百万美元一样重要,更不用说隐私泄漏所引起的尴尬处境和信誉受损了。通过安全培训和意识加强计划,认清各种泄漏带来的成本,并且知道采取哪些措施来预防泄漏,员工们就不必担心面临的挑战了。
四、尽量不要出现所谓“无害”的违反政策行为。
尽管有许多明显的“禁忌事项”,比如不得把公司客户名单出售给竞争对手,但还是存在“介于灰色区”的许多违反行为;如果不对它们加以处理,可能会导致危害性更大的泄漏事件。这些行为包括:与其他公司的朋友共享客户名单;把敏感数据“备份”至家庭电脑或未获得授权的存储设备上;把知识产权拷贝到USB拇指驱动器上,并带到远程开发站点。尽管所有这些违反行为似乎对当事员工没有什么危害,但可能会导致代价惨重的泄漏事件。
此外,如果对员工采取自由放任政策,他们可能会越来越忍不住通过这些违反行为来牟利。虽然还有许多办法可以监控及执行政策,但DLP(数据泄漏预防)解决方案的选择标准应当包括:解决方案具有检测相关泄漏的智能,又不会给员工带来不便、不影响公司的生产力(对某些公司而言,不影响个人的生产力)。
五、在执行政策的同时,对员工进行政策方面的教育。
行之有效的数据安全政策应当采用“软硬兼施”的方法。应当对员工进行公司政策方面的教育,最好是在“使用时刻”(point of use)或“违反时刻”(point of violation)进行教育。如果员工把敏感文档拷贝至USB驱动器、从而违反了政策,这时候对他们进行教育最有效,让他们懂得如何合理地保护公司的宝贵资产。如果严重违反了政策,DLP解决方案应当会阻止行为,并且告知员工的上司,以便采取合适的措施。加强员工在数据保护政策方面的意识(特别是在“使用时刻”)就能减少、甚至消除大部分意外或非故意出现的泄漏事件。
数据泄漏预防技术不仅仅应当监控及预防泄漏,还有助于对员工进行处理敏感数据的公司政策和规程方面的教育,加强他们在这方面的意识。由于能够对员工进行教育,并保护网络边界和内部端点,DLP解决方案还能通过预防数据泄漏、降低意外泄漏、要求员工要有保护敏感数据的警觉性,从而帮助员工成为安全资产。
然而,影响员工日常活动的任何新技术都必须智能、准确,从而避免降低员工的生产力、避免带来沮丧情绪。一边是需要监控及执行关键数据泄漏预防政策,另一边是需要让员工和管理员能够完成工作、推动业务发展;要在两者之间把握好一个度。