五種方法讓員工成為數據安全的保護神
敏感數據急需保護
企業數據資產面臨的威脅從來沒有這么大過——代價也沒有這么高過。由于員工在家辦公,或者在外出差時在咖啡館及其他異地場所辦公,無邊界企業面臨這樣的挑戰:需要在開放性和靈活性與安全和風險之間尋求平衡。
然而,敏感數據的泄漏及丟失事件大多是由于員工沒有接受安全教育,結果一時疏忽把公司置于險境。因為大多數泄漏都是意外事件,公司就有機會通過對員工進行教育、知道如何處理信息才合理,更有效地保護企業數據。下面五個辦法可以把員工變成安全資產,而不是安全負擔。
一、讓“確保數據安全”成為企業文化的一部分。
保護敏感信息不應該是安全和管理團隊的惟一責任。每個部門經理都有責任幫助確認及找出敏感數據,并且擬訂政策,規定員工如何合理地訪問、使用及保護數據。
已知要訪問敏感數據的每個員工都應當接受明確有責任保護公司數據的政策和規程方面的培訓。這樣一來,員工和經理都不但要為自己使用敏感數據負責,還有助于彼此監督,確保每個人都在遵守這些政策。
二、把數據泄漏預防流程納入總的工作流當中。
許多公司之所以對敏感數據喪失了控制權,就是因為敏感數據的識別、訪問及轉移并沒有納入總的工作流當中。比方說,創建新的文檔或內容時,有沒有分類流程來確定該運用怎樣的相應政策?或者當員工加入一個部門或在部門之間調換時,新老部門有沒有開始實施數據保護和訪問控制流程?另外,新的移動設備或遠程開發站點會帶來新的威脅途徑,從而導致數據泄漏。
如果公司認真考慮了核心流程,并且采用了適當的數據保護步驟,就能大大降低數據泄漏風險。
三、讓員工覺得自己是安全資產,而不是安全負擔。
如果員工覺得自己在保護企業數據方面的警覺性與滿足其他業務目標方面的警覺性一樣強,他們就會成為對公司數據安全計劃而言極其寶貴的資產。
保護公司免受泄露帶來的數百萬美元的罰款及費用,與通過改進流程或降低成本為公司節省數百萬美元一樣重要,更不用說隱私泄漏所引起的尷尬處境和信譽受損了。通過安全培訓和意識加強計劃,認清各種泄漏帶來的成本,并且知道采取哪些措施來預防泄漏,員工們就不必擔心面臨的挑戰了。
四、盡量不要出現所謂“無害”的違反政策行為。
盡管有許多明顯的“禁忌事項”,比如不得把公司客戶名單出售給競爭對手,但還是存在“介于灰色區”的許多違反行為;如果不對它們加以處理,可能會導致危害性更大的泄漏事件。這些行為包括:與其他公司的朋友共享客戶名單;把敏感數據“備份”至家庭電腦或未獲得授權的存儲設備上;把知識產權拷貝到USB拇指驅動器上,并帶到遠程開發站點。盡管所有這些違反行為似乎對當事員工沒有什么危害,但可能會導致代價慘重的泄漏事件。
此外,如果對員工采取自由放任政策,他們可能會越來越忍不住通過這些違反行為來牟利。雖然還有許多辦法可以監控及執行政策,但DLP(數據泄漏預防)解決方案的選擇標準應當包括:解決方案具有檢測相關泄漏的智能,又不會給員工帶來不便、不影響公司的生產力(對某些公司而言,不影響個人的生產力)。
五、在執行政策的同時,對員工進行政策方面的教育。
行之有效的數據安全政策應當采用“軟硬兼施”的方法。應當對員工進行公司政策方面的教育,最好是在“使用時刻”(pointofuse)或“違反時刻”(pointofviolation)進行教育。如果員工把敏感文檔拷貝至USB驅動器、從而違反了政策,這時候對他們進行教育最有效,讓他們懂得如何合理地保護公司的寶貴資產。如果嚴重違反了政策,DLP解決方案應當會阻止行為,并且告知員工的上司,以便采取合適的措施。加強員工在數據保護政策方面的意識(特別是在“使用時刻”)就能減少、甚至消除大部分意外或非故意出現的泄漏事件。
數據泄漏預防技術不僅僅應當監控及預防泄漏,還有助于對員工進行處理敏感數據的公司政策和規程方面的教育,加強他們在這方面的意識。由于能夠對員工進行教育,并保護網絡邊界和內部端點,DLP解決方案還能通過預防數據泄漏、降低意外泄漏、要求員工要有保護敏感數據的警覺性,從而幫助員工成為安全資產。
然而,影響員工日常活動的任何新技術都必須智能、準確,從而避免降低員工的生產力、避免帶來沮喪情緒。一邊是需要監控及執行關鍵數據泄漏預防政策,另一邊是需要讓員工和管理員能夠完成工作、推動業務發展;要在兩者之間把握好一個度。
敏感信息的保護方法通過以上的介紹,不知道大家是否學會了,希望對大家有幫助。
【編輯推薦】
