[[442114]]

【51CTO.com快譯】丟失數據可能會使企業破產。為了防止這種情況發生，企業必須創建一個數據丟失防護策略，以保護其正常運營，并且不會阻礙業務增長。

那么，人們是否知道企業內部員工所犯的錯誤導致了近88%的數據泄露事件?或者知道遭遇數據泄露事件的企業平均損失為424萬美元?對于大公司來說，如果丟失的是至關重要的數據，其損失可能會迅速飆升。

幸運的是，創建數據丟失防護(DLP)策略可以幫助企業有效保護數據。有了正確的指導方針，企業可以：

• 提高安全性。
• 教授員工如何存儲數據。
• 遵守政府法規。

什么是數據丟失防護(DLP)策略?

數據丟失防護(DLP)可作為幫助企業存儲、保護和共享數據的路線圖。通過適當的軟件、硬件和員工培訓，可以防止敏感數據受到損害。數據丟失防護(DLP)策略還應指導企業執行和防護流程。

為什么要制定數據丟失防護策略?

在現代商業世界中，數據在員工和外部公司之間不斷流動。如果沒有有效的數據丟失防護(DLP)策略，企業就很難跟蹤和控制其數據。

造成這一挑戰的一個原因是企業員工可能使用的溝通渠道數量眾多，例如：

• 電子郵件和即時消息。
• 共享在線文件夾。
• 協作軟件，包括實時視頻。

此外，員工經常在多個門戶中共享數據。常見的渠道包括他們的筆記本電腦、手機和云平臺。隨著在家遠程工作時代出現使用數據的新方法，保護數據變得更加重要。

數據丟失防護策略的工作原理

創建數據丟失防護策略需要企業了解其業務及其面臨的威脅。最佳策略是基于對企業獨特安全需求的徹底分析而起草的。然后，需要一套適用于其業務各個層面的特定可執行規則。

例如，假設企業中的一名員工將敏感文件上傳到Facebook Messenger。防護軟件可能會阻止上傳并將事件報告給員工的上司。然后，該軟件可以生成報告并標記它以供進一步審查。

但軟件和類似技術只是數據丟失防護的一個組成部分。為了實現有效的安全性，企業還需要簽署一個IT安全團隊、適當的硬件和適當的協議。使用這些工具，可以處理可能發生的任何違規行為(意外或其他)。

創建數據丟失防護策略的6個步驟

數據丟失防護(DLP)策略可以幫助企業實現三個主要功能：

• 遵守有關發送、接收和存儲受保護數據的政府和行業法規。
• 保護知識產權和商業秘密。
• 收集有關員工、客戶、客戶和利益相關者如何訪問企業數據并與之交互的見解。

為了實現這些目標，需要適當的數據丟失防護(DLP)安全和審核策略。然后，當出現可疑的事件時，需要做好充分的準備進行調查，并采取適當的行動。以下步驟可以幫助企業創建有效的數據丟失防護策略。

1.評估資源

在企業設置策略之前，需要有適當的人員，這些人員將在以下領域擁有專業知識：

• 風險分析。
• 數據保護法。
• 數據泄露響應和報告。
• 以及培訓和意識。

某些法規(例如GDPR)甚至要求企業咨詢受過數據保護培訓的員工。

2.識別和評估敏感數據

一旦有了專家在場，就可以確定需要保護哪些數據?？梢允褂脭祿l現和分類引擎來掃描數據庫并提供見解。

首先評估企業使用的不同類型的數據以及它們是否受政府保護(例如需要受HIPAA標準保護的醫療記錄)，還需要識別任何對業務敏感的知識產權和商業機密。

接下來是評估與每種類型的數據泄露相關風險的時候了。例如，與黑客竊取美國數千個客戶社會安全號碼相比，企業丟失有關內部財務的信息可能帶來的法律風險要小一些。

3.了解數據何時面臨風險

考慮數據何時面臨危險也很重要。當企業將數據分發到外部設備、與合作伙伴共享或使用云平臺上傳或下載時，可能將不同級別和類型的風險注入到其數據結構中。

在通常情況下，當最終用戶訪問企業數據時，其數據面臨的風險最大，例如通過打開電子郵件附件。但其數據也有可能在傳輸過程中受到損害。

為了降低這些風險，企業需要創建一個強大的數據丟失防護程序來考慮數據移動性和數據存儲。

4.敏感數據分類

在識別數據之后，就可以使用適當的數字簽名對其進行分類和標記。首先，企業需要將數據分為以下大類：

• 個人身份信息。
• 客戶數據。
• 支付卡信息。
• 知識產權和專有數據。
• 公共使用和公共領域數據。

從那里，可以將數據分成具有單獨標簽和處理流程的子類別。需要記住的是，不必一次做完所有事情。根據處理的數據量，必須從最敏感的信息開始，然后逐步進行。但隨著業務的增長，需要更新分類。

5.創建訪問控制列表

訪問控制列表概述了誰可以出于何種目的訪問哪些信息。設計訪問控制列表有兩種基本方法：

• 白名單確定誰可以訪問、使用或下載信息。
• 黑名單確定哪些人無法訪問、使用或下載信息。

企業還應該在具有基于角色的訪問權限的應用程序中安裝訪問控制，其示例可能包括其員工數據庫、目錄和銷售記錄。

6.設計數據結構

一旦收集了所有信息并指定了誰可以訪問哪些信息，就可以從頭開始設計數據結構。首先正式確定誰有權使用數據，并概述適當的存儲和存檔位置，例如：

• 在特定數據庫中。
• 在云端。
• 在企業的服務中。
• 在特定硬件上。

此外，應該建立評估數據丟失防護(DLP)供應商的標準。通過了解什么是可接受的標準，可以做出明智的購買決定。

企業還需要考慮政府法規如何影響其政策。例如，如果處理醫療數據，則可能需要與處理財務數據不同的加密軟件或流程。

一些數據丟失防護軟件甚至提供基于HIPAA或GDPR法規的預配置模板。雖然企業不能依靠這些來代替盡職調查，但它們可以幫助其識別易受攻擊的數據。許多特定于法規的模板也可作為數據丟失防護(DLP)策略的重要證據。

實施數據丟失防護策略的5個步驟

在創建數據丟失防護策略后，就可以開始實施。而對于一些業務來說，這可能說起來容易做起來難。

1.設置數據檢測技術

第一步是設置數據檢測技術以保護機密信息。其可能性包括：

• 文本分析。
• 創建敏感數據的數字指紋。
• 并在敏感信息上貼標簽。

企業還可以確定要在財務文件和合同中掃描的軟件關鍵字。

2.加密數據

企業應該采取措施在靜止和傳輸過程中加密所有關鍵業務數據，包括便攜式硬件上的數據。還需要安裝保護軟件以防止數據泄露和丟失，例如用于規避惡意軟件和可疑下載并加密文件的軟件。

但在這一過程中，企業還需要平衡安全性和可用性。安全性平衡可能會更好地保護信息，但會使系統幾乎無法供員工使用，從而降低生產效率。

3.開發和溝通控制

管理人員需要和IT員工一起創建策略。數據使用控制起初可以像針對危險行為一樣簡單。但隨著業務的成熟，將需要開發更精細的控制措施來防范惡意行為者。

此外，不要讓員工蒙在鼓里。培訓和定期再培訓可以幫助防止人為錯誤，并最大限度地減少薄弱的環節。此外，企業可能希望將數據保護政策告知其利益相關者和產品用戶，以保護數據。

4.制定應對措施和后果的標準

在創建數據丟失防護策略時，需要概述發生數據丟失時的響應計劃，還應該區分不同類型的數據丟失。

例如，如果外部攻擊者竊取信用卡信息，企業應該知道通知哪些政府部門和個人。但是，如果員工不慎下載了商業秘密，企業應該制定適當的政策來處理這些違規行為而不侵犯他們的權利。

許多數據丟失防護(DLP)解決方案都帶有一些內置響應。例如，如果員工以電子郵件附件的形式上傳機密文檔，軟件可能會阻止上傳或將傳輸重定向給其經理。還可以設置即時響應，例如向用戶發送警告，告知他們使用某些類型數據的后果。

5.記錄政策

最后，確保在執行過程中記錄數據策略。即使還沒有準備好正式制定政策，在執行過程中寫下一些想法，也可以幫助企業確保制定更好的政策并且易于整合。

考慮到企業政策潛在的法律后果也是很重要的，法律顧問撰寫提綱可以幫助企業了解自己的權利以及可能侵犯員工權利的地方。

例如，如果其政策包括監控、記錄或標記員工活動，并且可能處于法律灰色地帶。如果是這樣的話，那么則是修改員工協議并設置再培訓課程的時候了。

創建有效的數據丟失防護策略的其他提示

此時，企業的數據丟失防護策略已接近完成。但是通過這些技巧，可以將數據丟失防護(DLP)提升到一個新的水平。

1.考慮所有形式的數據

數據丟失防護(DLP)的一個被低估的元素正在考慮處于三個主要狀態的數據：

• 靜態數據是位于數據庫、計算機、移動設備和云存儲庫中的數據。
• 動態數據是當前通過電子郵件、視頻會議或支付交易傳輸的數據。
• 使用中的數據是員工和用戶正在積極使用或修改的數據。

此外，需要概述允許的傳輸路徑、數據流以及處理、修改、打印和復制數據的規則等方面。

2.自動化是關鍵

不幸的是，人工流程的范圍通常有限，無法根據企業業務進行擴展?？梢詫崿F自動化的數據丟失防護(DLP)流程越多，部署起來就越容易。但自動化也會帶來風險，例如員工需要適應電子郵件附件大小等限制。

因此，還需要預測并批準可接受的解決方案。在上面的示例中，這可能包括使用閃存驅動器或加密系統傳輸較大的文件。

3.定義團隊的角色

數據丟失防護(DLP)策略的一個被低估的組成部分是定義策略中涉及的每個人的角色。這包括從IT技術人員到高層管理人員再到首席執行官的所有人。具體說明誰將：

• 擁有數據。
• 可以訪問和使用數據。
• 負責事件調查期間的哪些任務。

4.建立指標

企業可以使用事件數量、準確報告和平均響應時間等指標來衡量策略的有效性。有了這些，就可以評估自己做得好的地方和投資回報。

5.監控數據使用情況

一旦企業設置了系統，但不要忘記它。在數據丟失防護(DLP)策略生效之后，企業的團隊應該跟蹤其數據使用情況。通過企業的軟件生成自動審計，可以深入了解數據丟失風險和管理。

6.分階段實施數據丟失防護(DLP)策略

創建數據丟失防護策略是一個時間和資源密集型過程，企業不希望制定一項不受員工尊重或無效的政策。畢竟，這會導致不一致并削弱安全性。

與其相反，首先從優先處理最需要保護的數據和通道開始。這些可能包括政府監管的數據、個人和支付信息以及商業機密。然后，可以找到保護其業務所需的適當軟件和硬件。

原文標題：How to Create a Data Loss Prevention Policy，作者：Tomas Pospisil

【51CTO譯稿，合作站點轉載請注明原文譯者和出處為51CTO.com】