[.comQuickTranslation]丢失数据可能导致企业破产。为防止这种情况发生,企业必须制定数据丢失防护策略,以保护其正常运营且不会阻碍业务增长。那么,人们是否知道近88%的数据泄露是由内部员工的错误造成的?或者遭受数据泄露的企业的平均损失为424万美元?对于大公司来说,如果丢失的是关键数据,其损失可能会迅速飙升。幸运的是,创建数据丢失防护(DLP)策略可以帮助企业有效地保护数据。有了正确的指导方针,企业可以:提高安全性。教员工如何存储数据。遵守政府规定。什么是数据丢失防护(DLP)策略?数据丢失防护(DLP)可作为帮助企业存储、保护和共享数据的路线图。可以通过适当的软件、硬件和员工培训来防止敏感数据受到损害。数据丢失防护(DLP)策略还应指导组织的执行和预防流程。为什么要制定数据丢失预防策略?在现代商业世界中,数据在员工和外部公司之间不断流动。如果没有有效的数据丢失防护(DLP)策略,企业就很难跟踪和控制他们的数据。这一挑战的一个原因是公司员工可能使用的通信渠道的数量,例如:电子邮件和即时消息。共享在线文件夹。协作软件,包括实时视频。此外,员工经常跨多个门户共享数据。常见的渠道包括他们的笔记本电脑、手机和云平台。随着在家远程工作时代出现新的数据使用方式,保护数据变得更加重要。数据丢失防护策略的工作原理创建数据丢失防护策略需要组织了解其业务及其面临的威胁。最好的策略是根据对您组织的独特安全需求的全面分析起草的。然后,它需要一套特定的可执行规则,适用于其业务的各个层面。例如,假设某企业的员工将敏感文件上传到FacebookMessenger。保护软件可能会阻止上传并将事件报告给员工的主管。然后该软件可以生成报告并将其标记以供进一步审查。但软件和类似技术只是数据丢失预防的一个组成部分。为了有效的安全性,企业还需要注册一个IT安全团队、适当的硬件和适当的协议。使用这些工具,可以处理可能发生的任何违规行为(意外或其他)。创建数据丢失防护策略的6个步骤数据丢失防护(DLP)策略可以帮助企业实现三个主要功能:遵守有关发送、接收和存储受保护数据的政府和行业法规。保护知识产权和商业秘密。收集有关员工、客户、客户和利益相关者如何访问企业数据并与之交互的见解。为了实现这些目标,需要适当的数据丢失防护(DLP)安全和审计策略。然后,当发生可疑情况时,您需要做好充分准备进行调查并采取适当的措施。以下步骤可以帮助组织制定有效的数据丢失预防策略。1.评估资源在企业制定战略之前,需要有合适的人员到位,他们将具备以下领域的专业知识:风险分析。数据保护法。数据泄露响应和报告。以及培训和意识。一些法规,例如GDPR,甚至要求企业咨询受过数据保护培训的员工。2.识别和评估敏感数据一旦您拥有专家,您就可以确定哪些数据需要保护。数据发现和分类引擎可用于扫描数据库并提供见解。首先评估您的企业使用的不同类型的数据以及它们是否受政府保护(例如,需要受HIPAA标准保护的医疗记录)。您还需要确定任何商业敏感的知识产权和商业秘密。然后是评估与每种类型的数据泄露相关的风险的时候了。例如,与黑客窃取美国数千个客户的社会安全号码相比,企业因丢失内部财务信息而造成的法律风险要小。3.了解数据何时存在风险考虑数据何时存在风险也很重要。当企业将数据分发到外部设备、与合作伙伴共享或使用云平台上传或下载数据时,他们可能会在其数据结构中注入不同级别和类型的风险。通常,最终用户在访问公司数据时(例如通过打开电子邮件附件)面临的风险最大。但是,其数据也可能在传输过程中受到损害。为了降低这些风险,企业需要创建一个考虑数据移动性和数据存储的强大的数据丢失预防计划。4.敏感数据分类一旦数据被识别,就可以对其进行分类并使用适当的数字签名进行标记。首先,企业需要将数据分为以下几大类:个人身份信息。客户数据。支付卡信息。知识产权和专有数据。公共使用和公共领域数据。从那里,数据可以分为具有单独标签和处理流程的子类别。要记住的是,您不必一次做所有事情。根据处理的数据量,有必要从最敏感的信息开始,然后逐步升级。但随着业务的增长,分类需要更新。5.创建访问控制列表访问控制列表概述了谁可以出于什么目的访问什么信息。设计访问控制列表有两种基本方法:白名单确定谁可以访问、使用或下载信息。黑名单决定谁不能访问、使用或下载信息。企业还应该在具有基于角色的访问权限的应用程序中安装访问控制,例如他们的员工数据库、目录和销售记录。6.设计数据结构一旦您收集了所有信息并指定了谁可以访问哪些信息,您就可以从头开始设计数据结构。首先正式确定谁有权访问数据并概述适当的存储和归档位置,例如在特定的数据库中。在云里。在企业服务方面。在特定硬件上。此外,还应建立评估数据丢失防护(DLP)供应商的标准。通过了解什么是可接受的标准,可以做出明智的购买决定。企业还需要考虑政府法规如何影响他们的政策。例如,如果您正在处理医疗数据,则可能需要与处理财务数据不同的加密软件或流程。一些数据丢失防护软件甚至提供基于HIPAA或GDPR法规的预配置模板。虽然企业不能依赖这些来代替尽职调查,但它们可以帮助他们识别易受攻击的数据。许多特定于法规的模板也可作为数据丢失防护(DLP)策略的重要证据。实施数据丢失防护策略的5个步骤创建数据丢失防护策略后,就可以开始实施了。对于某些企业而言,这可能说起来容易做起来难。1.设置数据检测技术第一步是设置数据检测技术来保护机密信息。可能性包括:文本分析。创建敏感数据的数字指纹。并在敏感信息上贴上标签。企业还可以识别软件关键字以扫描财务文件和合同。2.加密数据组织应采取措施加密所有静态和传输中的关键业务数据,包括便携式硬件上的数据。还需要安装保护软件以防止数据泄露和丢失,例如用于规避恶意软件和可疑下载以及加密文件的软件。但在这个过程中,企业也需要平衡安全性和可用性。安全性的平衡可能会更好地保护信息,但会使系统几乎无法供员工使用,从而降低生产力。3.制定和传达控制措施管理人员需要与IT人员合作制定政策。数据使用控制可以像针对危险行为一样简单地开始。但随着业务的成熟,将需要开发更精细的控制来防范恶意行为者。另外,不要让员工蒙在鼓里。培训和定期再培训有助于防止人为错误并最大程度地减少薄弱环节。此外,企业可能希望将数据保护政策告知其利益相关者和产品用户以保护数据。4.制定对策和后果的标准在制定数据丢失预防策略时,需要概述发生数据丢失时的响应计划,还应该区分不同类型的数据丢失。例如,如果外部攻击者窃取了信用卡信息,企业应该知道应该通知哪些政府机构和个人。但是,如果员工无意中下载了商业机密,企业应该制定政策来处理这些违规行为,同时不会侵犯他们的权利。许多数据丢失防护(DLP)解决方案都带有一些内置响应。例如,如果员工将机密文档作为电子邮件附件上传,该软件可能会阻止上传或将传输重定向到他们的经理。还可以设置即时响应,例如向用户发送有关使用某些类型数据的后果的警告。5.记录您的政策最后,确保在执行过程中记录您的数据政策。即使政策尚未准备好正式化,在整个过程中写下一些想法也可以帮助企业确保更好的政策到位并且易于整合。考虑公司政策的潜在法律后果也很重要,撰写大纲的法律顾问可以帮助公司了解他们的权利以及可能侵犯员工权利的地方。例如,如果其政策包括监控、记录或标记员工活动,而这可能处于法律灰色地带。如果是这样,那么是时候修改员工协议并设置再培训课程了。创建有效的数据丢失防护策略的其他技巧此时,您企业的数据丢失防护策略已接近完成。但是通过这些技巧,可以将数据丢失防护(DLP)提升到一个新的水平。1.考虑所有形式的数据数据丢失防护(DLP)的一个被低估的要素是考虑三种主要状态的数据:静态数据是驻留在数据库、计算机、移动设备和云存储库中的数据。动态数据是当前通过电子邮件、视频会议或支付交易传输的数据。使用中的数据是员工和用户正在积极使用或修改的数据。此外,还需要概述允许的传输路径、数据流以及处理、修改、打印和复制数据的规则等方面。2.自动化是关键遗憾的是,手动流程通常范围有限,无法随着企业业务的发展而扩展。可以自动化的数据丢失防护(DLP)流程越多,部署就越容易。但自动化也伴随着风险,例如员工需要适应电子邮件附件大小等限制。因此,还需要预期和批准可接受的解决方案。在上面的示例中,这可能包括使用闪存驱动器或加密系统来传输更大的文件。3.定义团队的角色数据丢失防护(DLP)策略的一个被低估的组成部分是定义策略中涉及的每个人的角色。这包括从IT技术专家到高层管理人员再到CEO的所有人。具体说明谁将:拥有数据。可以访问和使用数据。在事件调查期间负责哪些任务。4.建立指标企业可以使用事件数量、准确报告和平均响应时间等指标来衡量其战略的有效性。有了这些,就可以评估您在哪些方面做得好以及您的投资回报。5.监控数据使用一旦你设置了你的系统,不要忘记它。在数据丢失防护(DLP)策略生效后,您的团队应该跟踪其数据使用情况。由您的软件生成的自动审计可以深入了解数据丢失风险和管理。6.分阶段实施数据丢失防护(DLP)策略制定数据丢失防护策略是一个耗费时间和资源的过程,企业不希望员工不尊重或不起作用的策略.毕竟,这会导致不一致并削弱安全性。相反,首先要优先考虑最需要保护的数据和通道。这些可能包括政府监管的数据、个人和支付信息以及商业机密。然后,您可以找到保护业务所需的合适软件和硬件。原标题:如何创建数据丢失防护策略,作者:TomasPospisil
