本文讲的是卜宪录:用风险管理的方法论做DLP项目,“以风险管理的思路和方法论来实施数据泄露防护,而不仅仅是将其当作工具。”赛门铁克中国区安全产品总监卜宪录在谈到DLP时,这样说到。
卜宪录分享企业DLP项目实施经验,“企业上马DLP项目,首先要从管理上重点考虑人员等因素的事情,然后再选择适合企业管理文化和流程的解决方案配合管理落地,通常一个项目的实施周期约为6-12个月。”
▲赛门铁克中国区安全产品总监卜宪录
企业DLP项目首先要考虑的因素:
1、公司管理人员的参与:数据保护,业务流程更改,员工行为等必须获得来自高层管理人员的支持;
2、设置优先次序,获得前期的成功:保密资料可以以各种方式存于组织内部各处,但首先要处理最关键的资料,立即证明价值;
3、业务主管的参与:用来识别新威胁、确保最新策略以及修复中断业务进程的信息资料,必须来自于与业务数据最近的人员;
4、训练有素的事件响应团队(IRT):角色职责明确,流程清晰,有助于推动企业范围内的一致性和认同;
5、员工教育:员工行为的可视性可以将教育集中在最重要的风险领域,对公司资料实行实时保护可以促进公司安全氛围的发展。
卜宪录谈到,企业实施DLP项目的成败的关键在于员工的信息泄露防范意识是否得到了提升,信息泄露风险是否得到了识别和控制并且是否在逐步下降。DLP项目的成功可以为企业带来很多的收益,如:可以保护企业的声誉免受损失,保证了顾客的忠诚度和满意度;保持企业竞争优势,防止竞争对手快速跟进并超越;防止因为大客户的流失和知识产权的泄露而严重影响企业的核心业务。
不同行业对DLP期待目标一致但需求不同
每一个行业对数据泄漏防护的目标都是一致的,目的都是将数据泄漏事件减少,然而,不同的行业对数据防泄露的具体需求又是不尽相同的,那是因为处于不同的行业的企业拥有的敏感数据是不一样的,都有非常明显的行业特点,如下:
• 金融机构(银行、保险、证券、基金)敏感数据:银行卡号、保单信息、客户账号、交易数据、账目信息、融资投资信息、大客户信息、上市公司中报 / 年报等;
• 电信企业敏感数据:客户资料(包括普通客户资料、个人大客户资料、集团大客户资料、渠道合作伙伴资料等);计费账务数据(包括详单、账单、账务信息和记录等);经营分析报表;
• 制造业及高科技企业敏感数据:客户资料、产品设计图纸、源代码、价格体系、商业计划、合同定单、物流信息、管理制度等。
作者:kaduo
来源:it168网站
原文标题:卜宪录:用风险管理的方法论做DLP项目