专家支招：防止数据泄露的三个有效步骤-DOIT

或许很多企业及机构并不认为自己有数据泄露的风险，但是近期的众多新闻事件证明，威胁确实存在，没有哪个组织能够避免。

最近CDW预防威胁报告显示，数据泄露已成为大中型企业网络安全的最大挑战。被调查的IT安全决策者中，有高达37%认为，数据泄漏是继病毒、蠕虫、恶意攻击和僵尸网络之后企业面临的“下一个安全大威胁”。

只要想想数据泄漏的潜在结果就已使经营管理者夜不能寐。任何的数据泄漏事件都会以无数种方式破坏该组织。根据最近Ponemon Institute调查，从一个简单的硬钱成本(hard-cost)的立场看，数据泄露代价高昂，预计将导致平均每次破坏200美元的代价，或者说总破坏68亿美元的代价。

然而，若考虑诸如丧失的竞争优势、收益损失、法律诉讼、企业声誉等因素，数据泄露真正的代价将无法衡量。

防止数据泄露的第一步是承认数据泄漏是一个真实存在的问题。真正解决该问题，归结起来主要由三个简单的概念：定义/基线、培训和强制。

定义数据和创建基线

这不是很多IT机构之前采用后来弃用的典型的、巨大(并永远无法实现)的信息分类工程。成功的关键是区分机密信息(例如：社会安全号码)和机密文档(如：包含社会安全号码的文件)。

在当今的IT世界里，几乎每个人都是信息工作者。在商业的进程中，人们复制文档、创建报告，将它们放到Sharepoint网站等等。试图在文档层面分类信息通常困难得令人望而却步，因为这些文档经常被移动。

这表明，通常对“机密的”定义太过简单。诸如姓名、社会安全号码、信用卡号、驾照号、银行信息等这些最简单的数据实际上最易通过欺诈的方式获得，并且很容易货币化。这些数据与法律及行政规定的保护数据(如HIPAA)实际上是任何机构都必须保护的数据。

此外，每一个组织还有关键性业务数据。包括某知名投资公司差点被窃取的交易算法、经销商下一季的销售渠道、生物医学公司发布新产品前的研究数据、软件公司产品的源代码等。

你的下一步便是定义“业务关键机密”对本机构的意义。简单来说，该定义通过三个标准来衡量：

——这些信息的泄露是否将严重地影响收益和利润?

——机构的领导层是否希望能知晓该泄露?

——机构的领导层若知晓该泄漏后是否会采取行动?

在某种程度上来说，这三个独立的问题将引导至同一个概念，但在实际意义上，应用这三个问题使组织能在繁杂中理清头绪，聚焦于“业务关键机密”的核心。

一旦该定义建立起来，第二步就是运用该定义衡量业务，以针对实际存在的风险理清哪些是机密信息。最需要关注的领域不一定与最易泄露的领域重叠。在许多案例中，组织中单一的泄密风险很容易通过修改某一业务流程避免。最关注的地方应该是那些很难控制的地方。

培训员工并说明问题

“信息安全政策”——脊背发凉?大量研究和精力花在为组织设计完善的信息安全政策。一般信息安全政策都会考虑法律和责任上的问题。不幸的是，实际上，信息安全政策很少有指导信息工作者在日常的工作中如何使用和存储机密信息。

一旦确定了“机密”的定义并明确了机密信息的用途。下一步就是使用这些来完成实用而简洁的政策。你的目标是政策需要控制在半页的长度，并且在一个模型化的“30秒电梯交谈”中就能说明什么数据是机密的，如何来使用它。

该政策建立后，需要采取三大措施：

——明确违反该政策并导致事故后的处理流程

——培训政策的使用者

——为使用者提供实时的通知。

很多数据泄露预防工程的行业早期采用者表示，清晰简洁的交流与培训能够减少90%以上的数据泄露事件。

防止数据泄露的发生

如果流程发生变化，使用培训和实时通知能够减少90%的数据泄露，余下的10%可以通过技术强制来进一步减少。然而，真正关键的是要把安全放在优先考虑中。精明持续地在安全技术上进行投资以控制组织可能会面临的特定风险。

方法之一就是用一个内在或外在的资源监控和管理安全事件，确保该资源将风险告知风险相关者。这项政策将使你实时监控安全风险，使组织掌控数据安全状况。

对于任何地方的IT执行者来说，数据泄露的威胁将持续被置于重要位置，但也有不少被证实有效的保护组织的方法。通过定义数据、培训员工并采取预防性措施将防止数据的泄露。你也将能够极大缓和将面临的安全威胁。

*注：本文章作者Sadik Al-Abdulla为CDW Security Practice的高级经理。

专家支招：防止数据泄露的三个有效步骤