中国信息化
设为首页
加入收藏
简体中文
返回旧版
网站首页
关于协会
协会简介
协会章程
协会机构
分支机构
协会媒体
协会大事记
联系我们
协会要闻
协会工作
活动预告
协会会员
会员加盟
特约副会长
常务理事单位
理事单位
会员单位
通知公告
业界动态
智慧社会
智慧农业
智慧生活
智慧教育
智慧医疗
数字化转型
动态
理论
IT与服务
IT运维
信息服务
国际资讯
动态
理论
会展信息
地方动态
新闻动态
经验做法
信息安全
行业新闻
安全方案
专家观点
最新观点
信息化研究
政务信息化
动态
理论
新一代信息技术
移动&物联
大数据
云计算
人工智能
工业互联网
当前位置:
首页
信息安全
安全方案
数据丢失防护:不仅仅是技术问题
来源:
作者:
发布时间: 2008-09-18
我们的信息存在哪里?使用情况如何?我们如何能够最好的保护这些信息避免丢失?这三个问题是全球的首席安全官和首席信息官的首要考虑。毕竟,在当前信息化的世界里,保护数据安全至关重要。
根据ITPolicyComplianceGroup最近的调查,68%的企业每年至少会发生6起敏感数据泄露的事件,更有20%的企业每年发生敏感数据丢失的数量达到22起甚至更多。隐私与信息管理调查公司Ponemon Institute表示,每条数据丢失导致的损失接近200美元。
对于这种数据丢失的持续发生,任何企业都不会坐视不理任其发展。在当前开放的世界里,企业依赖于高速带宽和移动计算环境进行各种业务,为了降低随之而来的各种风险,企业开始采用数据丢失防护。目前已有一些新兴的数据丢失防护技术,能够防止数据在信息生命周期的一点或多点丢失,包括通过网络传输时、存储保存时或在端点使用时。
但是数据丢失防护并不仅仅是技术问题。尽管我们可以看到技术成熟度曲线以及供应商在数据丢失防护营销方面取得的最新进展,但是对于端点解决方案并没有所谓的“尚方宝剑”。
为了保护信息,就必须要做到技术与人员和流程相结合。有效的数据丢失防护战略应当致力于降低潜在数据丢失,不仅仅要在企业部署自动化控制,更需要帮助其识别风险、制定策略和流程,并为用户提供培训。
开始关注
正如数据丢失防护并非仅仅是技术解决方案,信息保护也不仅仅是IT所要考虑的问题。事实上,IT部门常常并不会了解到哪些信息是机密的而哪些不是。防止数据丢失是业务问题,需要与业务相配合的解决方案。因此,在部署技术防止数据丢失之前,主要的股东和业务部门负责人必须首先一起决定哪些数据是最需要受到保护的。
因为数据丢失防护并非仅靠IT部门便可解决,它需要不同部门给予不同方面的支持与协作,包括设备、法务遵从负责人、企业风险负责人、人力资源部门、市场营销部门以及销售部门。
当前企业部署数据丢失防护计划需要如何开始着手进行?大多数情况下,这就意味着制定一个强制性的业务案例,确保正确的人员获得用正确语言表述的正确信息。
以下是企业可以参考的关键步骤:
?选择适当的表述语言。应当从业务优势促进的角度进行表述,而并非谈论失误的威胁或恶意攻击,或是考虑潜在突发事件会造成的影响以及导致的业务损失。
?利用热点新闻事件来强调重要性。大多数企业负责人都在担心由于发生数据泄漏而导致的法律诉讼事件。然而类似这样的隐私和数据泄露事件还将会持续发生。通过利用这些公之于众的问题详解真正的风险,才能让企业有所警觉,即便是发生几率较低的事件,一旦发生也会造成很大的影响。
?建立阶段性目标。在寻求跨部门支持前,应当首先设置三个阶段性目标,并用业务术语讲解实现目标能为IT和业务带来哪些收益。
评估风险
明确说来,识别流程并不意味着将每条进出或存于企业内部的信息进行分级。相反的,它意味着识别出一部分信息,即一旦丢失将会对企业造成较大的负面影响的信息。这正是部署数据丢失防护后首先需要获得的信息。对于某些企业来说,这些信息会包括源代码、产品设计、以及类似的知识产权。对于其它企业来说,或许还包括用户信息或金融数据。
一些数据丢失防护解决方案包括风险评估组件,用于2到3天为周期的网络活动监控。然后便会发送报告,表明企业有哪些数据正在通过网络向外传输,以及通过哪个部门,和向外传输的频率。这一报告能够有效的帮助企业判定风险最高的数据以及部门。
设置策略与流程
一旦企业已经识别出确实需要保护的数据,这些信息便会作为企业数据丢失策略的基础。企业便能够设计出流程来监控数据丢失事件,并评估该流程是否能够始终确保降低风险。在发生泄漏时,明确责任分工十分关键。一旦发生灾难,正确的人员遵循正确的流程便能降低风险。
例如,IT安全以及相关负责人员需要被通知到。如果发现疑似恶意行为,将其发送到法务专家进行下一步了解很有必要。如果大型数据泄漏事件发生,公共关系部门便会扮演重要角色。而且,业务部门负责人也希望能够始终跟踪数据丢失风险。
当前最全面的数据丢失防护解决方案可以帮助企业监控最重要的数据向外流出的状况,无论是通过某个网关、某个特定点或是其它。准确使用信息,对于企业定义策略并使之准确匹配十分重要。
最新的数据丢失防护解决方案还采用了智能的事件响应功能,因此企业可以灵活的实现自动化策略执行。通过所涉及的分析和工作流程实现自动计算事件严重性并进行适当的分级执行。通过提供基于业界事件响应和修复流程的最佳实践范例,这些解决方案能够显著降低IT的配置时间。
提高意识
如果员工不能够充分了解企业信息资产以及个人在降低风险中扮演的角色,那么即便是最尖端的技术和流程也不能够达到预期的效果。但是通过提高意识,员工也能够成为企业保护最有价值资产的一道坚强的防线。
如何提高?正式的安全意识培训课程当然会有一定程度的帮助,明确讲解安全策略。但是最有效的方法或许是来自于实际的操作。毕竟,许多数据泄漏都是由于一个简单的用户错误而导致的。人们会犯错,然后忘记,然后错误的理解。但是他们如果知道是错误的话,就可以进行自我纠正。
强健的数据丢失防护解决方案不仅能够使用户较为容易的了解企业数据丢失策略,更能够帮助用户轻松的遵循这些策略执行。通过提供不同等级的实时响应,从修复到通报以及防护,数据丢失防护能够进行现场纠正。这种自动化的操作累积产生的效果将会使企业受益匪浅。事实上,财富1000强企业在部署数据丢失防护解决方案实现自动化用户通报功能的10天后,便发现数据丢失事件降低了90%。
显然,在当前开放的世界里,各种规模的企业里的首席安全官和首席信息官都在致力于确保数据无论是在发送、存储或使用时都能够获得妥善防护。凭借数据丢失防护解决方案充分将人员、流程与技术整合在一起,企业不仅能够深入了解数据的所在位置,使用人员以及流向,更加能够有效的管理和控制当前与未来的信息风险。
上一篇:
六大措施保障网络安全
下一篇:
您在关注企业信息安全吗?
地方动态
全国大学生创新发明大赛暨“英创工程”启动
中国信息协会会长王金平一行赴通用航空分会调研
政务热线建设发展与战略管理专题研修班在长沙圆满结训
中国信息协会会长王金平一行赴北京国脉互联信息顾问有限公司调研
协会要闻
通知公告
•
关于召开“2024第七届中国信息技术应用创新大会”的通知
•
中国信息协会算力网专业委员会(筹)发展研讨会在深圳召开
•
关于举办中国信息协会第四届信息技术服务业应用技能大赛物联网、区块链、机器人、云计算、移动通信、大数据分析技术与应用赛项的通知
•
中国信息协会会长王金平一行赴深圳市信息行业协会调研
•
全国大学生创新发明大赛暨“英创工程”启动
•
中国信息协会会长王金平一行赴通用航空分会调研
•
中国信息协会会长王金平一行赴《中国信息界》杂志社调研
•
中共中央党史和文献研究院第三研究部到协会调研
•
中国信息协会会长参加“星火行动”中小企业赋能计划第三届发布活动
•
政务热线建设发展与战略管理专题研修班在长沙圆满结训
•
免责声明
•
第二十五届中国专利奖拟推荐项目公示
•
严 正 声 明
•
第二十四届中国专利奖拟推荐项目公示
•
严 正 声 明
•
第二十三届中国专利奖拟推荐项目公示
•
关于朱玉同志引咎辞职的通知
•
声明
•
关于撤销中国信息协会信息化发展研究院的通知
•
关于取消“2021年国有及大型企业数字化转型技术与应用大会”的通知