走出數(shù)據(jù)保護(hù)誤區(qū)

申請(qǐng)免費(fèi)試用、咨詢(xún)電話(huà)：400-8352-114

誤區(qū)一:預(yù)防信息泄漏是信息管理員的事情

保護(hù)公司避免病毒等外部威脅向來(lái)是安全管理員的份內(nèi)事，但保護(hù)公司避免信息泄漏需要極其寬廣的視野。如今，保護(hù)敏感數(shù)據(jù)的難題涉及公司的各個(gè)部門(mén): 從IT部門(mén)、法律部門(mén)到董事會(huì)。CIO們每天都必須面臨如何落實(shí)必要的技術(shù)和流程，以便保護(hù)機(jī)密數(shù)據(jù)、遵守各種法規(guī)的問(wèn)題，但他們必須在不影響日常業(yè)務(wù)運(yùn)營(yíng)的前提下做到這一點(diǎn)。

誤區(qū)二:如果阻止了即時(shí)通信、基于萬(wàn)維網(wǎng)的電子郵件和外部存儲(chǔ)設(shè)備，就用不著擔(dān)心信息泄漏了

控制即時(shí)通信、萬(wàn)維網(wǎng)電子郵件和外部存儲(chǔ)設(shè)備也許能增強(qiáng)基本的數(shù)據(jù)安全，不過(guò)在如今這個(gè)高度聯(lián)網(wǎng)的世界，嚴(yán)格限制信息的流動(dòng)可能會(huì)妨礙業(yè)務(wù)流程，最終制約公司的發(fā)展。行之有效的預(yù)防手段應(yīng)該既讓信息留在公司的防火墻內(nèi)部，又不影響日常業(yè)務(wù)運(yùn)營(yíng)的順利開(kāi)展。信息管理需要采取面面俱到的方法。最佳實(shí)踐包括: 針對(duì)即時(shí)通信和萬(wàn)維網(wǎng)使用等方面制訂泄漏預(yù)防策略; 另外要使用越來(lái)越多的技術(shù)，比如端點(diǎn)安全和加密技術(shù)，好讓員工們能夠安全地使用外部存儲(chǔ)設(shè)備。

誤區(qū)三:我知道自己的數(shù)據(jù)位于何處

大多數(shù)公司對(duì)自己的數(shù)據(jù)位于何處（無(wú)論數(shù)據(jù)是在文件服務(wù)器上還是在公司的筆記本電腦上）并不是非常清楚。知道誰(shuí)可以訪問(wèn)數(shù)據(jù)、數(shù)據(jù)在網(wǎng)絡(luò)內(nèi)外傳輸?shù)那闆r，這對(duì)管理信息而言至關(guān)重要。除了識(shí)別敏感信息外，CIO們還必須明白其他有風(fēng)險(xiǎn)的方面，比如未加保護(hù)的端點(diǎn)，是否針對(duì)常見(jiàn)的數(shù)據(jù)丟失途徑（如即時(shí)通信和上網(wǎng)沖浪）制訂了互聯(lián)網(wǎng)使用策略、策略是否得到了執(zhí)行，等等。

誤區(qū)四:我最應(yīng)該關(guān)心的是保護(hù)數(shù)據(jù)避免數(shù)據(jù)失竊和內(nèi)部惡意泄漏

惡意數(shù)據(jù)泄漏和失竊顯然是要處理的重要方面。不過(guò)，大多數(shù)泄漏并非有意為之。失誤、違反現(xiàn)有的業(yè)務(wù)或者IT流程以及員工和承包商的疏忽，這些因素都會(huì)導(dǎo)致泄漏。據(jù)弗雷斯特研究公司統(tǒng)計(jì)，實(shí)際上，有70%以上的泄漏事件是不小心造成的。由于幾乎每臺(tái)計(jì)算機(jī)上的預(yù)期收件人都有電子郵件自動(dòng)填充功能，很容易看到電子郵件一不小心就發(fā)送到了公司外面。在制訂行之有效的信息泄漏預(yù)防策略時(shí)，必須關(guān)注偶然性的數(shù)據(jù)丟失，以便應(yīng)對(duì)絕大部分的日常風(fēng)險(xiǎn)。

誤區(qū)五:信息泄漏預(yù)防技術(shù)很復(fù)雜、成本很高，所以不值得安裝

每家公司的情況各不相同，因而泄漏帶來(lái)的潛在成本也各不相同。不過(guò)已經(jīng)有研究機(jī)構(gòu)進(jìn)行了大量研究，分析受害者遭遇的泄漏事件，如美國(guó)零售商TJX最近就專(zhuān)門(mén)撥款1.18億美元來(lái)應(yīng)對(duì)數(shù)據(jù)泄漏。弗雷斯特研究公司估計(jì)，客戶(hù)信息丟失帶來(lái)的成本為每條記錄90美元到305美元之間，具體取決于所丟失信息的類(lèi)型和公司。

不過(guò)，客戶(hù)信息只是大多數(shù)人平時(shí)看到的泄漏信息當(dāng)中的一小部分而已。并購(gòu)方案、收益報(bào)告和知識(shí)產(chǎn)權(quán)等機(jī)密信息一旦泄漏，給相關(guān)公司帶來(lái)的影響會(huì)大得多。每家公司需要進(jìn)行風(fēng)險(xiǎn)管理評(píng)估，以便量化泄漏事件帶來(lái)的預(yù)期損失?？梢杂纱舜_定是否有必要實(shí)施信息控制措施，比如信息泄漏預(yù)防技術(shù)—在大多數(shù)情況下，許多公司發(fā)現(xiàn)有必要實(shí)施這類(lèi)措施。

誤區(qū)六:員工們知道什么信息可以發(fā)到公司外面、什么信息不能發(fā)到外面

大多數(shù)員工并不是有意泄漏信息的，如果經(jīng)過(guò)適當(dāng)?shù)呐嘤?xùn)和教育，再結(jié)合信息泄漏預(yù)防技術(shù)，就可以大大降低數(shù)據(jù)泄漏風(fēng)險(xiǎn)。不過(guò)，絕大部分員工并不知道公司所訂的策略。員工們往往不明白為什么通過(guò)網(wǎng)絡(luò)郵件把工作文檔發(fā)到家里去處理具有很大風(fēng)險(xiǎn)，也不明白為什么密碼保護(hù)很重要。在移動(dòng)性越來(lái)越強(qiáng)的工作環(huán)境下，員工培訓(xùn)顯得更加重要。

員工教育方面的最佳實(shí)踐從溝通開(kāi)始入手。應(yīng)當(dāng)在新員工崗前培訓(xùn)期間提供員工培訓(xùn)，然后是一年一度的進(jìn)修課程，教他們明白可以訪問(wèn)哪些信息、如何使用信息。第二步就是使用技術(shù)來(lái)提供持續(xù)教育、自動(dòng)加強(qiáng)策略的機(jī)制。比方說(shuō)，要是有了信息泄漏預(yù)防解決方案，哪些員工違反了策略，就會(huì)自動(dòng)收到管理人員發(fā)來(lái)的警告信息。這樣，他們就會(huì)知道為什么自己的某種聯(lián)系違反了策略，以便將來(lái)能夠有所改進(jìn)。

誤區(qū)七:信息泄漏預(yù)防技術(shù)會(huì)影響公司的運(yùn)營(yíng)

許多CIO一聽(tīng)到“信息泄漏預(yù)防”，就以為會(huì)影響業(yè)務(wù)流程。事實(shí)恰恰相反，信息泄漏預(yù)防實(shí)際上能改善業(yè)務(wù)流程。如果實(shí)施的產(chǎn)品擁有數(shù)據(jù)的上下文知識(shí)、知道誰(shuí)在發(fā)送數(shù)據(jù)及預(yù)期目的地，那么一旦違反了策略，信息所有者就會(huì)接到通知，而不需要IT人員的干預(yù)，從而降低了管理開(kāi)銷(xiāo)，同時(shí)強(qiáng)化了以下觀念: 信息泄漏問(wèn)題能夠而且必須在業(yè)務(wù)部門(mén)自身內(nèi)部得到解決。

誤區(qū)八:如果部署了信息泄漏預(yù)防技術(shù)，會(huì)接到大量誤報(bào)

能夠辨別實(shí)際的重大泄漏與日常的業(yè)務(wù)活動(dòng)，這對(duì)維持安全效果和運(yùn)營(yíng)效果之間的平衡而言至關(guān)重要。當(dāng)然，有些信息泄漏預(yù)防解決方案的誤報(bào)率（及漏報(bào)率）很高。為了避免很高的誤報(bào)率和漏報(bào)率及由此帶來(lái)的成本，應(yīng)當(dāng)尋求具有準(zhǔn)確的檢測(cè)功能，并且對(duì)結(jié)構(gòu)化數(shù)據(jù)和非結(jié)構(gòu)化數(shù)據(jù)都能檢測(cè)的解決方案。并且確保它擁有一組細(xì)粒度的策略控制機(jī)制和成熟的執(zhí)行功能，從而確保能夠設(shè)定及執(zhí)行針對(duì)用戶(hù)、數(shù)據(jù)、目的地、公司治理和法規(guī)遵從等方面的策略。

誤區(qū)九:只有受管制行業(yè)才需要信息泄漏預(yù)防技術(shù)

消費(fèi)者數(shù)據(jù)不是公司需要為之擔(dān)心的惟一信息。每家公司都有重要的知識(shí)產(chǎn)權(quán)需要保護(hù)。如果某家?jiàn)蕵?lè)公司丟失了重要的電影腳本，或者某家服裝公司泄漏了明年的設(shè)計(jì)方案，公司有可能蒙受慘重?fù)p失。

誤區(qū)十:信息泄漏預(yù)防技術(shù)有望解決所有數(shù)據(jù)泄漏問(wèn)題

信息泄漏預(yù)防技術(shù)只不過(guò)提供了一種方法，它能夠發(fā)現(xiàn)敏感數(shù)據(jù)位于何處，然后預(yù)防這些數(shù)據(jù)通過(guò)常見(jiàn)的聯(lián)系方法（如電子郵件和即時(shí)通信）離開(kāi)公司。不過(guò)，這項(xiàng)技術(shù)必須輔以員工教育，并且與文檔權(quán)限管理、加密、端點(diǎn)安全等技術(shù)，當(dāng)然還有物理安全措施結(jié)合使用。信息泄漏預(yù)防的目的在于，大大降低數(shù)據(jù)泄漏風(fēng)險(xiǎn)，同時(shí)為公司跟蹤及迅速應(yīng)對(duì)違反策略的嚴(yán)重事件提供一種手段。(CCW- 2008年02月25日第06期 33)