丢失数据可能会使企业破产。为了防止这种情况发生,企业必须创建一个数据丢失防护策略,以保护其正常运营,并且不会阻碍业务增长。
那么,人们是否知道企业内部员工所犯的错误导致了近88%的数据泄露事件?或者知道遭遇数据泄露事件的企业平均损失为424万美元?对于大公司来说,如果丢失的是至关重要的数据,其损失可能会迅速飙升。
幸运的是,创建数据丢失防护(DLP)策略可以帮助企业有效保护数据。有了正确的指导方针,企业可以:
- 提高安全性。
- 教授员工如何存储数据。
- 遵守政府法规。
什么是数据丢失防护(DLP)策略?
数据丢失防护(DLP)可作为帮助企业存储、保护和共享数据的路线图。通过适当的软件、硬件和员工培训,可以防止敏感数据受到损害。数据丢失防护(DLP)策略还应指导企业执行和防护流程。
为什么要制定数据丢失防护策略?
在现代商业世界中,数据在员工和外部公司之间不断流动。如果没有有效的数据丢失防护(DLP)策略,企业就很难跟踪和控制其数据。
造成这一挑战的一个原因是企业员工可能使用的沟通渠道数量众多,例如:
- 电子邮件和即时消息。
- 共享在线文件夹。
- 协作软件,包括实时视频。
此外,员工经常在多个门户中共享数据。常见的渠道包括他们的笔记本电脑、手机和云平台。随着在家远程工作时代出现使用数据的新方法,保护数据变得更加重要。
数据丢失防护策略的工作原理
创建数据丢失防护策略需要企业了解其业务及其面临的威胁。最佳策略是基于对企业独特安全需求的彻底分析而起草的。然后,需要一套适用于其业务各个层面的特定可执行规则。
例如,假设企业中的一名员工将敏感文件上传到Facebook Messenger。防护软件可能会阻止上传并将事件报告给员工的上司。然后,该软件可以生成报告并标记它以供进一步审查。
但软件和类似技术只是数据丢失防护的一个组成部分。为了实现有效的安全性,企业还需要签署一个IT安全团队、适当的硬件和适当的协议。使用这些工具,可以处理可能发生的任何违规行为(意外或其他)。
创建数据丢失防护策略的6个步骤
数据丢失防护(DLP)策略可以帮助企业实现三个主要功能:
- 遵守有关发送、接收和存储受保护数据的政府和行业法规。
- 保护知识产权和商业秘密。
- 收集有关员工、客户、客户和利益相关者如何访问企业数据并与之交互的见解。
为了实现这些目标,需要适当的数据丢失防护(DLP)安全和审核策略。然后,当出现可疑的事件时,需要做好充分的准备进行调查,并采取适当的行动。以下步骤可以帮助企业创建有效的数据丢失防护策略。
1.评估资源
在企业设置策略之前,需要有适当的人员,这些人员将在以下领域拥有专业知识:
- 风险分析。
- 数据保护法。
- 数据泄露响应和报告。
- 以及培训和意识。
某些法规(例如GDPR)甚至要求企业咨询受过数据保护培训的员工。
2.识别和评估敏感数据
一旦有了专家在场,就可以确定需要保护哪些数据。可以使用数据发现和分类引擎来扫描数据库并提供见解。
首先评估企业使用的不同类型的数据以及它们是否受政府保护(例如需要受HIPAA标准保护的医疗记录),还需要识别任何对业务敏感的知识产权和商业机密。
接下来是评估与每种类型的数据泄露相关风险的时候了。例如,与黑客窃取美国数千个客户社会安全号码相比,企业丢失有关内部财务的信息可能带来的法律风险要小一些。
3.了解数据何时面临风险
考虑数据何时面临危险也很重要。当企业将数据分发到外部设备、与合作伙伴共享或使用云平台上传或下载时,可能将不同级别和类型的风险注入到其数据结构中。
在通常情况下,当最终用户访问企业数据时,其数据面临的风险最大,例如通过打开电子邮件附件。但其数据也有可能在传输过程中受到损害。
为了降低这些风险,企业需要创建一个强大的数据丢失防护程序来考虑数据移动性和数据存储。
4.敏感数据分类
在识别数据之后,就可以使用适当的数字签名对其进行分类和标记。首先,企业需要将数据分为以下大类:
- 个人身份信息。
- 客户数据。
- 支付卡信息。
- 知识产权和专有数据。
- 公共使用和公共领域数据。
从那里,可以将数据分成具有单独标签和处理流程的子类别。需要记住的是,不必一次做完所有事情。根据处理的数据量,必须从最敏感的信息开始,然后逐步进行。但随着业务的增长,需要更新分类。
5.创建访问控制列表
访问控制列表概述了谁可以出于何种目的访问哪些信息。设计访问控制列表有两种基本方法:
- 白名单确定谁可以访问、使用或下载信息。
- 黑名单确定哪些人无法访问、使用或下载信息。
企业还应该在具有基于角色的访问权限的应用程序中安装访问控制,其示例可能包括其员工数据库、目录和销售记录。
6.设计数据结构
一旦收集了所有信息并指定了谁可以访问哪些信息,就可以从头开始设计数据结构。首先正式确定谁有权使用数据,并概述适当的存储和存档位置,例如:
- 在特定数据库中。
- 在云端。
- 在企业的服务中。
- 在特定硬件上。
此外,应该建立评估数据丢失防护(DLP)供应商的标准。通过了解什么是可接受的标准,可以做出明智的购买决定。
企业还需要考虑政府法规如何影响其政策。例如,如果处理医疗数据,则可能需要与处理财务数据不同的加密软件或流程。
一些数据丢失防护软件甚至提供基于HIPAA或GDPR法规的预配置模板。虽然企业不能依靠这些来代替尽职调查,但它们可以帮助其识别易受攻击的数据。许多特定于法规的模板也可作为数据丢失防护(DLP)策略的重要证据。
实施数据丢失防护策略的5个步骤
在创建数据丢失防护策略后,就可以开始实施。而对于一些业务来说,这可能说起来容易做起来难。
1.设置数据检测技术
第一步是设置数据检测技术以保护机密信息。其可能性包括:
- 文本分析。
- 创建敏感数据的数字指纹。
- 并在敏感信息上贴标签。
企业还可以确定要在财务文件和合同中扫描的软件关键字。
2.加密数据
企业应该采取措施在静止和传输过程中加密所有关键业务数据,包括便携式硬件上的数据。还需要安装保护软件以防止数据泄露和丢失,例如用于规避恶意软件和可疑下载并加密文件的软件。
但在这一过程中,企业还需要平衡安全性和可用性。安全性平衡可能会更好地保护信息,但会使系统几乎无法供员工使用,从而降低生产效率。
3.开发和沟通控制
管理人员需要和IT员工一起创建策略。数据使用控制起初可以像针对危险行为一样简单。但随着业务的成熟,将需要开发更精细的控制措施来防范恶意行为者。
此外,不要让员工蒙在鼓里。培训和定期再培训可以帮助防止人为错误,并最大限度地减少薄弱的环节。此外,企业可能希望将数据保护政策告知其利益相关者和产品用户,以保护数据。
4.制定应对措施和后果的标准
在创建数据丢失防护策略时,需要概述发生数据丢失时的响应计划,还应该区分不同类型的数据丢失。
例如,如果外部攻击者窃取信用卡信息,企业应该知道通知哪些政府部门和个人。但是,如果员工不慎下载了商业秘密,企业应该制定适当的政策来处理这些违规行为而不侵犯他们的权利。
许多数据丢失防护(DLP)解决方案都带有一些内置响应。例如,如果员工以电子邮件附件的形式上传机密文档,软件可能会阻止上传或将传输重定向给其经理。还可以设置即时响应,例如向用户发送警告,告知他们使用某些类型数据的后果。
5.记录政策
最后,确保在执行过程中记录数据策略。即使还没有准备好正式制定政策,在执行过程中写下一些想法,也可以帮助企业确保制定更好的政策并且易于整合。
考虑到企业政策潜在的法律后果也是很重要的,法律顾问撰写提纲可以帮助企业了解自己的权利以及可能侵犯员工权利的地方。
例如,如果其政策包括监控、记录或标记员工活动,并且可能处于法律灰色地带。如果是这样的话,那么则是修改员工协议并设置再培训课程的时候了。
创建有效的数据丢失防护策略的其他提示
此时,企业的数据丢失防护策略已接近完成。但是通过这些技巧,可以将数据丢失防护(DLP)提升到一个新的水平。
1.考虑所有形式的数据
数据丢失防护(DLP)的一个被低估的元素正在考虑处于三个主要状态的数据:
- 静态数据是位于数据库、计算机、移动设备和云存储库中的数据。
- 动态数据是当前通过电子邮件、视频会议或支付交易传输的数据。
- 使用中的数据是员工和用户正在积极使用或修改的数据。
此外,需要概述允许的传输路径、数据流以及处理、修改、打印和复制数据的规则等方面。
2.自动化是关键
不幸的是,人工流程的范围通常有限,无法根据企业业务进行扩展。可以实现自动化的数据丢失防护(DLP)流程越多,部署起来就越容易。但自动化也会带来风险,例如员工需要适应电子邮件附件大小等限制。
因此,还需要预测并批准可接受的解决方案。在上面的示例中,这可能包括使用闪存驱动器或加密系统传输较大的文件。
3.定义团队的角色
数据丢失防护(DLP)策略的一个被低估的组成部分是定义策略中涉及的每个人的角色。这包括从IT技术人员到高层管理人员再到首席执行官的所有人。具体说明谁将:
- 拥有数据。
- 可以访问和使用数据。
- 负责事件调查期间的哪些任务。
4.建立指标
企业可以使用事件数量、准确报告和平均响应时间等指标来衡量策略的有效性。有了这些,就可以评估自己做得好的地方和投资回报。
5.监控数据使用情况
一旦企业设置了系统,但不要忘记它。在数据丢失防护(DLP)策略生效之后,企业的团队应该跟踪其数据使用情况。通过企业的软件生成自动审计,可以深入了解数据丢失风险和管理。
6.分阶段实施数据丢失防护(DLP)策略
创建数据丢失防护策略是一个时间和资源密集型过程,企业不希望制定一项不受员工尊重或无效的政策。毕竟,这会导致不一致并削弱安全性。
与其相反,首先从优先处理最需要保护的数据和通道开始。这些可能包括政府监管的数据、个人和支付信息以及商业机密。然后,可以找到保护其业务所需的适当软件和硬件。
原文标题:How to Create a Data Loss Prevention Policy,作者:Tomas Pospisil