企业DLP指南 替数据丢失防护做好准备
发布时间:2022-04-30 10:02:18 所属栏目:安全 来源:互联网
导读:所有企业都不希望看到因为数据泄露事故而让企业见诸报端,但是随着安全威胁的不断演化,加之不可预测的人为因素,数据泄露的风险正在不断增加。 虽然技术能够确保业务的开展、满足监管要求和保护机密数据,但是单靠技术并不够:企业必须制定一套专门的政策(
|
所有企业都不希望看到因为数据泄露事故而让企业见诸报端,但是随着安全威胁的不断演化,加之不可预测的人为因素,数据泄露的风险正在不断增加。 虽然技术能够确保业务的开展、满足监管要求和保护机密数据,但是单靠技术并不够:企业必须制定一套专门的政策(标准和指示等)来规定哪些数据需要受到保护,应该在哪里执行数据安全控制,以及数据应该如何受到保护。 在实施管理控制之前,关键利益相关者应制定一个组织沟通策略,明确数据保护项目应该如何进行,并提供教育工具来减小“知道-做”差距。 这里有一个“知道-做”差距的例子:假设你的移动员工在与客户沟通时,没有对企业应用程序或网络的直接访问权,潜在客户要求移动员工发一份电子邮件以供日后参考,但由于这个员工没有电子邮箱平台的访问权,他会认为这一次可以使用他的公共webmail账户来向客户发送信息。 赛门铁克指出可以使用CMM(能力成熟度模型)的方法从战术反映转向积极战略来解决风险管理和合规问题。CMM的目的是为企业提供一种方法来测量现有控制的强度,同时检测哪里还有待改善。 在建立了良好的管理控制,加上对数据保护控制的成熟度评级,创造了一种瀑布效应,为加强或部署技术控制的优先级指明了方向。询问一些重要问题,例如哪些是关键数据?关键数据存储在哪里?数据是如何被使用的?如果没有对企业数据的良好理解,就不能量化相关风险以及实施适当控制。 与多个业务部门协作能够确保从一个更全面的角度来明确风险或者安全团队不知道的数据使用情况。虽然来自各个业务线的评估结果是独立的,但产生的结果能够说明应该优先哪些工作,降低风险。 数据丢失防护(DLP)是需要人力和技术力量共同支持的业务问题。部署数据保护项目对于每个企业都是必不可少的,这不应该是一个痛苦的过程。这个工作需要企业在较长的时间内投入很多资源,在部署安全控制之前制定政策不仅不会成为开展业务的障碍,而且会成为安全执行业务的平台。 (编辑:PHP编程网 - 黄冈站长网) 【声明】本站内容均来自网络,其相关言论仅代表作者个人观点,不代表本站立场。若无意侵犯到您的权利,请及时与联系站长删除相关内容! |
浙公网安备 33038102330482号