长期内、外抗战 – DLP 资料外泄防范
前几年资安界话题最为热门的不外乎是个资法议题。个资法从草案到而后的正式条文公布,其间争议不断,各界对于条文细则都有不同的意见及解读方式,同时各产业与政府单位因应状况落差仍大,各主管机关界定亦不明朗,因此个资法确实落实于各产业及政府单位则显现得更为谨慎。
对于企业而言,在法案施行前的一两年实为难熬的一段时光,因为在施行前企业需要找到因应的措施,以免个资法正式上路后因违反法令而造成莫大损失,而个资法实施这两年来, 企业一开始时会担心投资方向错误,因此做法上相对保守,以往比较偏向单一特定做法,如DLP (Data Loss Prevention, DLP)资料外泄防范 , 加密或轨迹纪录…等。另外企业主以往都是抛出一个”需要做资料保护”的大议题给资安人员或是厂商,在此阶段企业主对于资料保护方仍然是处在一个”知道要做”的阶段但并未审视企业内部本身的资安问题根本出在哪里。
随着个资法实施这两年后,企业对于打造企业资安有明显的进步及不同于过往的做法。企业开始着重在不同解决方案的搭配,除了整个不同层面的产品或技术来达到资料保护的目的外,同时也思考企业内部流程以及搭配行政命令或教育训练来确保整个企业环境的信息安全。例如,邮件方面的个资保护来说, 相当多的企业做了Archiving之后,可以提供邮件的事后稽核及调阅,也开始针对外寄邮件的个资来导入DLP的机制,防止使用者有意或无意的将资料外泄,并且也结合加密的解决方案,将这些需要外寄的个资信件进行加密。
简而言之,以往的单兵作战已经转变成协同防御,同时思考如何将新的解决方案整合成现有的资安保护机制,打造一个完整且对使用者影响最低的有效资安环境。
防止资料外泄或是资料保护是一个不容忽视且长存的问题,需要长期抗战。因此企业的防护重点应该是加固现有的控管机制,如随身碟, 网络及邮件等传统的漏泄管道。在政策的定义上,相关的资安策略也需要视情况或时间不同来进行适当调整。除了单纯使用DLP的解决方案来防堵, 也应该要思考携出的档案都要加密, 以确保资料不慎遗失后并不会被有心人士将资料盗用。
企业开始思考导入企业配给行动装置给员工,或是开放员工自备的行动装置到企业内部使用,这些行动化所带来的工作型态改变对企业资安政策冲击其实相当大,因为使用者操作的端点是越来越多的不同平台作业系统, 加上云端的兴起,如何让使用者可以享受行动化所带来的便利且仍然可以确保资料的安全性则是下一个阶段重要的课题,不论是在MDM(Mobile Device Management,MDM) 行动装置管理的解决方案或是在档案上面的加密都是企业不可忽视的一环。
最后,防止资料外泄的做法和解决方案目前大多是以内部员工有意或无意的角度来思考,但恶意程序所造成的资料外泄反而是企业这段时间所忽略的一点。恶意程序的威胁从传统的病毒到现在进阶威胁攻击APT (Advanced Persistent Threat, APT)仍旧会是未来资料保护的一个隐忧,越来越多变的木马、后门程序透过各种方式潜伏在企业内,透过这种方式所漏泄的资料对企业来说杀伤力的作用与内部员工有意或无意的漏泄资料都是不容小觑。
信息安全的打造没有速成的方式,信息安全的防御机制应该是层层堆栈,每个企业所需要的资安系数不尽相同,如何检视目前企业内部的资安风险及漏洞,并思考如何结合不同的解决方案来确保资料安全同时还需兼顾使用者操作的可用性都是接下来这几年企业们所需要密切留意的重要课题。
|