所有企業都不希望看到因為數據泄露事故而讓企業見諸報端，但是隨著安全威脅的不斷演化，加之不可預測的人為因素，數據泄露的風險正在不斷增加。

雖然技術能夠確保業務的開展、滿足監管要求和保護機密數據，但是單靠技術并不夠：企業必須制定一套專門的政策(標準和指示等)來規定哪些數據需要受到保護，應該在哪里執行數據安全控制，以及數據應該如何受到保護。

[[66161]]

這也是數據丟失防護(DLP)遇到的情況。對DLP最常見的誤解之一就是，認為它是一個信息安全問題。事實上，它不單單只是信息安全問題，是關系到整個企業的問題。企業所犯的***錯誤之一就是緊靠安全團隊來部署數據保護項目。Gartner的***報告指出企業不能“簡單地設置后就放著不管”，必須在初期階段就讓業務利益相關者參與進來，制定一個關于企業將如何解決數據泄露的明確的清晰的戰略。

建立管理數據保護控制(政策、標準、指令和指導方針)最有效的方法是通過(了解風險并對結果有投資興趣的)戰略業務線的協作來實現，這包括，但不僅限于，法律、隱私、安全和人力資源。綜合這些方面和其他利益相關者的觀點，能夠確保當開始執行數據保護項目時，技術控制不會成為阻礙，而是成為安全執行業務的推動者。

在實行管理控制的同時，還應該制定操作文件以確定在處理技術控制所產生的輸出時，哪些團隊應該參與進來。另外還應該創建事件管理工作流程以確定在分流、響應和調查階段中需要哪些資源。有一個精簡的數字調查結構能夠大大減少事故發生和檢測之間的差距;減少企業損害(聲譽、財務等)或者正在發生的數據泄露。

“知道-做”的差距就是在實踐中我們所知道的和我們做的事情之間的差距：知道我們企業的管理控制有哪些，但是選擇不遵守這些控制。人為因素是最可怕的因素，因為最難預測，并且無法通過技術來控制，這也是需要管理控制的原因。

在實施管理控制之前，關鍵利益相關者應制定一個組織溝通策略，明確數據保護項目應該如何進行，并提供教育工具來減小“知道-做”差距。

這里有一個“知道-做”差距的例子：假設你的移動員工在與客戶溝通時，沒有對企業應用程序或網絡的直接訪問權，潛在客戶要求移動員工發一份電子郵件以供日后參考，但由于這個員工沒有電子郵箱平臺的訪問權，他會認為這一次可以使用他的公共webmail賬戶來向客戶發送信息。

賽門鐵克指出可以使用CMM(能力成熟度模型)的方法從戰術反映轉向積極戰略來解決風險管理和合規問題。CMM的目的是為企業提供一種方法來測量現有控制的強度，同時檢測哪里還有待改善。

在建立了良好的管理控制，加上對數據保護控制的成熟度評級，創造了一種瀑布效應，為加強或部署技術控制的優先級指明了方向。詢問一些重要問題，例如哪些是關鍵數據?關鍵數據存儲在哪里?數據是如何被使用的?如果沒有對企業數據的良好理解，就不能量化相關風險以及實施適當控制。

與多個業務部門協作能夠確保從一個更全面的角度來明確風險或者安全團隊不知道的數據使用情況。雖然來自各個業務線的評估結果是獨立的，但產生的結果能夠說明應該優先哪些工作，降低風險。

數據丟失防護(DLP)是需要人力和技術力量共同支持的業務問題。部署數據保護項目對于每個企業都是必不可少的，這不應該是一個痛苦的過程。這個工作需要企業在較長的時間內投入很多資源，在部署安全控制之前制定政策不僅不會成為開展業務的障礙，而且會成為安全執行業務的平臺。