新版個資法通過,DLP產品成為資安市場的當紅炸子雞,似乎只要導了DLP,就足以因應個資法帶來的衝擊,對此,RSA,EMC信息安全事業部台灣分公司大中華區資深技術顧問黃惠美有不同看法,她認為,DLP是資料保護的最後一道防線,企業在決定導入DLP之前,應該先從風險評估開始,了解自身的風險所在,才知道有沒有導入的必要性,若一昧急於導入DLP,很容易淪為市場白老鼠。
為了協助企業找出自身的風險所在,RSA與勤業眾信、Accenture合作推出整合顧問服務,由顧問針對企業進行業務流程訪談,再透過RSA的DLP Scan Service比對實際個資資料流向,最後才是出具風險評估報告,並建議資安防護政策的制定方向。
其實,防制資料外洩不一定要花錢採購資安工具,透過流程管控也可以達到相同目的,例如:銀行可能為了達到行銷目的,允許理專可以大量下載客戶資料並存放在USB中,這就是一個資料管控的缺失,另外像東森購物在經歷個資外洩事件後,也提高對客服人員接觸資料的管控,像是電腦禁止連到外部網站、員工不能帶手機或紙筆,雖然沒有工具,卻同樣達到管控目的。
最後,黃惠美建議,企業因應個資法的步驟應為:
第一、首先做好保護自己及舉證工作,也就是導入日誌管理類工具;
第二、透過顧問服務進行風險評估,了解資料是否已做分級分類、釐清資料流向、內部IT架構、員工有無資安意識等;
第三、針對風險評估報告,補強缺乏控制的流程或安全點;
第四、佈署DLP產品,落實資料管控政策。