数据丢失预防可以为您的敏感信息提供一些强大的保护。它可用于在环境中发现个人信息(PI),从名称和电话号码识别各种形式的PI到政府标识符和信用卡号,组装多个子集,以准确识别整个记录,甚至可以做所有的这用多种语言。
它还可以发现和识别知识产权(IP),甚至接受培训,了解您的IP和您的业务伙伴的IP之间的区别。当有人试图复制或共享PI或IP时,它可以提醒您。它可以阻止或加密试图通过电子邮件、即时通讯、博客、拷贝或打印这些敏感数据。DLP还可以对您想要保护或忽略的特定文档进行“指纹识别”。
DLP提供了一套强大的功能,但它主要用于防止敏感数据未经授权的移动(例如,您可以通过各种方式将敏感数据从一个位置传输、复制或打印到另一个位置)。而且,它的目的是在一个方向上提供这种保护(由内而外)。它并不是为了保护您不接收敏感数据,而是为了保护您已经拥有的数据。
做你的研究
通过执行DLP,你将投入大量的公司资金、时间和资源。作为第一步,做你的调查。咨询Forrester或Gartner等研究分析师,对行业、供应商和可用的解决方案以及它们特有的优缺点有一个基本的或中级的了解。一些DLP解决方案提供了健壮的功能和支持,而另一些提供的功能要少得多(比如。“DLP Lite”)。在进行DLP之前,了解您的环境和敏感数据移动的方式。
此外,利用您的专业网络。询问您的同龄人与DLP做什么以及他们的成功或痛苦。与几个供应商交谈并将现场缩小到几个。缩小现场后,请求初步定价估计 - 您需要此信息进行预算规划。
请注意,大多数公司购买了太多的DLP。计划在关键领域开始小规模的试点测试,然后逐步发展。您会发现,安装、配置、优化和找到有效管理的方法所花费的时间比您想象的要长得多。把钱花在未使用或部署不当的产品或订阅许可上,对您和您的公司都没有好处。
对所需要的地点进行一些思考,以及成功必须实现的目标。
除非您的组织有意义,否则不要申请霰弹枪方法。安装DLP的一切,到处都可以非常昂贵且难以维护。考虑业务中的关键应用和团队,真正需要DLP技术,因为他们可以访问的数据的敏感性。您可能会发现您能够在高风险的团队中围绕围绕您的高风险保护施用DLP保护信封。
有一种方法可以考虑帕累托的“关键少数法则”(或80/20法则)。这个原则指出,80%的风险来自20%的来源。通过将您的DLP保护重点放在您的高风险领域,您将对您公司的风险概况产生重大的积极影响,并能够与高级管理层分享诱人的投资回报率数据。
识别业务要求
在潜入技术和可用的供应商解决方案之前,您应该首先建立对DLP的业务需求的良好理解。确保您的业务需求包括以下内容:
- 透明性:透明性的要求应该得到满足,这样用户在安装后的期望就很清楚了。考虑一下,在将DLP引入您的环境之后,它们对数据和信息系统的使用可能会发生什么变化。DLP会使他们的生活变得复杂还是简单?
- 性能:考虑DLP解决方案可能对环境产生的性能影响。由于DLP端点客户端软件或在端点执行的大型策略,笔记本电脑和台式机的性能可能会受到影响。如果使用DLP积极地发现环境中敏感数据的位置,您的网络和服务器的性能也可能受到影响。
- 兼容性:考虑您将需要DLP的操作系统和应用程序以支持您的环境中。一些DLP供应商为Mac OS提供支持,但最重要的是。
- 可用性:考虑是否需要高度可用的DLP解决方案,或者最佳努力足够好。如果您的DLP解决方案因某种原因停止工作,则会产生什么影响?
定义安全需求
在确定了业务需求之后,接下来概述一组安全需求来支持它们。当有人试图将其复制到USB时,或者当有人试图以任何方式将其从磁盘上移动时,您可以决定您需要加密任何PI。也许您只关心大量的PI,所以超过某个阈值您就会选择阻止它被移动。或者,您可能只是想让DLP在不阻塞或加密任何东西的情况下提醒支持人员。每个业务都有一组不同的需求。定义一组符合特定业务需求的安全需求。
通信
如果你正在向领导层推销DLP,请考虑“安全网”而不是“老大哥”。DLP应该被认为是一个协作解决方案。以积极的态度推销它,解释它如何保护你的敏感数据,使你的业务远离媒体(出于错误的原因),并为你提供竞争优势。计划尽早让整个公司的关键利益相关者参与进来。这些关键部门通常包括IT、人力资源、财务、法律和内部审计。稍后,当您准备好实现DLP时,您将需要并需要来自这些业务领导的支持。
当您准备好实现DLP时,请确保您应用了良好的通信实践。让业务领导、涉众和用户适当地了解您的计划和时间表。我在沟通方面遵循的经验法则是:
- 告诉他们你要告诉他们
- 告诉他们
- 然后告诉他们你告诉他们
它似乎是多余的,但你会发现这种方法非常有效地让你的信息。您希望为您的业务社区的每个部分开发不同的沟通;一个是执行领导;一个用于团队领导;一个用于最终用户人口。不要让任何人带来DLP。在这种情况下,惊喜可以很快看起来像“大哥”刚搬进来,这可能不是你想要的图像。
查看架构选项
DLP解决方案有各种形式,包括软件,硬件或基于云的解决方案。几家DLP供应商提供了其中一个或多个的含量。根据您希望保护的敏感数据,它驻留在哪里,以及如何访问它,最适合您的业务的DLP解决方案可能包括任何一个或多个。
[与DLP的斗争]
基于软件的DLP解决方案包括针对终端客户端和管理服务器的永久或基于订阅的许可证。您需要分别提供底层计算机硬件、操作系统和虚拟化软件(如果合适的话)、数据库服务器和管理服务器。
基于硬件的解决方案包括一个或多个DLP设备。至少您需要单独提供一个或多个邮件传输代理(如果您打算加密或阻止电子邮件)、一个数据库服务器和管理服务器。
基于云的DLP解决方案通常表示零足迹订阅解决方案。Endpoint用户通过路由器上的Web缓存通信协议(WCCP)配置或在每个端点上安装的PAC文件来指示到DLP云提供商,以将其出站流量重定向到DLP提供商的云。
角色和职责
在您清楚了哪一种DLP体系结构最适合您的需求之后,开始定义您将遵循的角色和职责。建立一个RACI图表,其中详细说明谁负责,谁负责,谁需要咨询,谁被告知与DLP解决方案的护理和喂养相关的每个活动。这样做可以清楚地说明谁拥有和做什么。这将帮助您避免以后与管理DLP或其任何底层组件的其他支持组发生冲突。
然而,每个raci条目都很重要,但是,您应该包括两个特定的项目。首先,确保您在职责的分离中建立,以帮助防止滥用。通过为安全团队分配权限来执行此操作,允许它们创建DLP策略但不是实现它们的能力。然后,将权限分配给您的支持团队(例如,允许它们实现安全团队开发的DLP策略,但不能创建策略。通过应用此检查和余额,我们防止单个团队将解决方案或通过实施不应实施的东西造成伤害。
其次,需要注意的是,DLP将收集并报告通过您的系统或网络的最敏感信息。想想所有商业领袖和董事会成员之间共享的敏感电子邮件讨论和文件,比如人力资源。让您的支持团队能够看到这些数据显然是不合适的。因此,您需要限制对DLP事件内容的访问(例如,John Smith将1000个姓名和社会安全号码复制到一个USB u盘,这里是他复制的所有社会安全号码和姓名)。
另一方面,DLP事件的上下文应该对支持团队可用,以便他们能够处理该事件(例如,John Smith将1000个名字和社会安全号码复制到一个USB u盘)。许多DLP解决方案提供了这些区别。事实上,如果您正在考虑的解决方案中不存在此功能,那么它应该是一个突出的问题。
谨慎地部署和开发文档
谨慎而有意识地部署。请记住,DLP是一种强大的技术,如果部署不当,可能会影响通信的关键组件。一开始要保持DLP部署的规模较小。然后,随着对解决方案的信心的增长,扩展到其他组。尽早考虑部署到一些风险最高的业务领域;您不会希望在您忙于部署风险较低的业务领域时发生一个本来可以预防的漏洞,同时您将了解到更多信息。
从仅启用监视开始。不要一开始就阻塞或自动加密数据,直到您真正准备好,并理解这些错误的含义。期待帮助台的电话,并准备您的支持团队,以便他们能够有效地响应。确定当您了解到给定的策略违反,并为可能发生的每个场景与涉众(法律、HR、IT)保持一致时,您将做什么。
确保将所有与DLP的体系结构和部署相关的内容都记录下来。如果您打算将其彻底销毁,那么您的文档应该能够指导您完成全面重新部署。如果不能,那么您的文档是不够的。最后,与领导分享报告和指标,说明DLP对您保护敏感信息的能力的积极影响。他们想知道他们组织的资金和资源是如何有效地使用的。
Curtis Dalton是Sapient的Ciso。他可以在@curtisedaltons at twitter上到达
这个故事,“一个成功的DLP策略的7个策略”最初是由CSO .