数据丢失防护(DLP)方案
数据流入和流出组织到合作伙伴,客户,远程员工,其他合法用户,有时还流入未经授权的人员。
数据流入和流出组织到合作伙伴,客户,远程员工,其他合法用户,有时还流入未经授权的人员。许多缺乏有效的数据丢失防护最佳实践的组织发现,跟踪所有数据是一项挑战。原因之一是员工使用授权和未授权的多个通信渠道发送数据。他们使用电子邮件,即时消息,共享的在线文件夹,协作软件,短信,各种社交媒体和其他渠道。此外,员工将数据存储在许多不同的地方,包括台式机,笔记本电脑,笔记本电脑,智能手机,文件服务器,旧版数据库,云等。这导致对哪些数据离开组织的可见性不足,并使防止数据丢失变得更加复杂。
为什么组织需要数据丢失保护
在美国,数据泄露的平均成本为386万美元。1对于大公司,成本可能更高。例如,2014年,当黑客从超过5000万客户窃取信用卡数据时,Home Depot造成了超过2.6亿美元的成本。结果,Home Depot偿还了银行,信用卡公司和消费者的钱,并实施了法院命令对其安全政策进行的改进。
多个行业和政府法规为安全处理不同类型的数据(例如医疗保健信息(HIPAA)或信用卡数据(PCI))指定了规则。违反这些规定可能会给数据丢失带来巨大的惩罚性罚款。
防止数据丢失的解决方案
防止数据丢失(DLP)的一项主要工作是选择一种DLP解决方案,以帮助识别组织中的各种数据。DLP解决方案还可以监视数据流经的端点或通道。DLP解决方案扫描数据存储库(例如文件共享和服务器),然后分析和分类内容。某些DLP产品或DLP软件套件中的模块为事件响应提供自动报告。他们还可以阻止敏感数据从组织流出,或在发送之前对其加密,具体取决于组织建立的规则。
但是,技术只是DLP的一个组成部分。有效的数据安全性要求DLP最佳实践,包括用于处理和存储敏感数据以及处理安全违规的详细策略和过程。有效的DLP还取决于IT员工对数据安全要求的了解以及最终用户对数据安全实践的了解。
DLP最佳实践可增强数据安全性
DLP中的最佳实践结合了技术,流程控制,知识渊博的员工和员工的意识。以下是开发有效的DLP程序的推荐指南:
实施单个集中式DLP程序。许多组织实施了不一致的,临时的DLP做法和技术,各个部门和业务部门都采用了这种做法和技术。这种不一致导致缺乏对数据资产的可见性和弱数据安全性。此外,员工往往会忽略组织其余部分不支持的部门DLP计划。
评估内部资源。为了创建和执行DLP计划,组织需要具有DLP专业知识的人员,包括DLP风险分析,数据泄露响应和报告,数据保护法律以及DLP培训和意识。一些政府法规要求组织雇用内部人员或聘请具有数据保护知识的外部顾问。例如, GDPR 包括影响到向欧盟消费者出售商品或服务或监视其行为的组织的规定。GDPR要求可以担任DPO职责的数据保护官(DPO)或员工,包括进行合规性审核,监视DLP绩效,对员工进行合规性要求教育,以及充当组织与合规性部门之间的联络人。
进行清单和评估。 评估数据类型及其对组织的价值是实施DLP计划的重要的早期步骤。这涉及识别相关数据,数据的存储位置以及它是否是敏感数据(知识产权,机密信息或法规要求解决的数据)。某些DLP产品(例如McAfee DLP)可以通过扫描文件的元数据并对结果进行分类来快速识别信息资产,或者在必要时打开文件以分析内容。下一步是评估与每种类型的数据相关的风险(如果数据泄漏)。其他注意事项包括数据出口点和如果丢失数据可能给组织带来的成本。丢失有关员工福利计划的信息所带来的风险级别与丢失1000个患者医疗档案或100个患者医疗档案不同,
分阶段实施。DLP是一个长期过程,最好分阶段实施。最有效的方法是确定数据和通信通道的类型的优先级。同样,请考虑根据组织的优先级而不是一次全部实施DLP软件组件或模块。风险分析和数据清单有助于确定这些优先级。
创建分类系统。在组织可以创建和执行DLP策略之前,它需要针对非结构化和结构化数据的数据分类框架或分类法。数据安全类别可能包括机密,内部,公共,个人身份信息(PII),财务数据,受监管的数据,知识产权等。DLP产品可以使用组织可以稍后自定义的预配置分类法来扫描数据,以帮助识别数据的关键类别。当DLP软件自动执行并加快分类速度时,人们可以选择和自定义类别。内容所有者还可以直观地评估某些类型的无法使用简单关键字或短语识别的内容。
建立数据处理和补救策略。创建分类框架后,下一步是创建(或更新)用于处理不同类别数据的策略。政府要求指定用于处理敏感数据的DLP策略。DLP解决方案通常会基于各种法规(例如HIPAA或GDPR)应用预配置的规则或策略。然后,DLP员工可以根据组织需求定制策略。为了管理策略,DLP强制执行产品(例如McAfee DLP Prevent)可以监视传出渠道(例如电子邮件和Web聊天),并提供用于处理潜在安全漏洞的选项。例如,要发送带有敏感附件的电子邮件的员工可能会收到一个弹出窗口,提示您对该邮件进行加密,或者系统可能会完全阻止该邮件或将其重定向到经理。
教育员工。员工的意识以及对安全策略和程序的接受对于DLP至关重要。课堂,在线培训,定期发送电子邮件和张贴海报之类的教育和培训工作可以增进员工对数据安全重要性的理解,并增强他们遵循推荐的DLP最佳实践的能力。违反数据安全性的处罚也可能会提高合规性,尤其是在明确定义处罚的情况下。SANS研究所提供了各种数据安全培训和意识资源。