觀點

DLP導入停看聽 成功關鍵在哪裡?

2011 / 03 / 21
林文腕
DLP導入停看聽  成功關鍵在哪裡?

BS7799ISO27001,我們看到了什麼?資訊安全管理系統涵蓋的範圍愈來愈全面,企業從風險評鑑的過程當中看到了資安危機,所以這些年來,幾乎是全員皆動,資安政策的不適應也變成自然遵守,靠的就是員工使用習慣的改善。

 

而電腦處理個人資料保護法到個人資料保護法,我們又看到了什麼?原來個人資料這麼值錢!!這是很多客戶看到個資法的罰則後第一個提到的問題,而且已不再是純電腦裡的個人資料,舉凡電子及實體記錄的個人資料皆在本法保護範圍內,但企業最擔心的還是電子資料的個資在哪?該如何保護?該如何確保已盡善良管理人責任?企業即將面臨的種種挑戰,我們首先想到的解決方案,就是目前最熱門的DLP (Data Loss Prevention)

 

 

重點1:資料外洩問題的三個面向

 

然在導入DLP解決方案前,必須瞭解一個觀念:DLP不是個資保護的唯一工具,也不是一勞永逸的工具,雖然,DLP的確是一套管理外洩風險的有效工具,但我們所面臨的外洩問題,必須從以下三個面向來探討:

 

1、管理風險與確保政府法規遵循:

在佈滿個資的企業環境裡,必須先要了解這些個資所存在的風險因素,因為每份個資都有其價值性,依據每種價值度的高低,及外洩後對企業的影響力,訂定風險值,再者,對於個資法的相關要求(例如:利用、傳輸),是否有相關記錄進行存查,以確保外洩事件發生後能提供完善保護責任之證據。

 

2、資料在哪裡?

電子資料無時無刻都在流動,不管這些個資目前存在主機、資料庫、個人電腦上、甚至是儲存媒體內,都必須進行清查作業,以避免是否有個資曝露在高風險的設備上。

 

3、審視作業流程:

企業對於個資存取流程是否有誤,這在DLP導入時是很重要的一個環節,否則員工都可以存取個資(員工、客戶、廠商),那就不知誰才是屬於違法存取的員工了。

 

 

重點2:個資法要求  組織應正視資料防護的問題

 

個資無所不在,然最重要卻不是一套最完善的DLP,而是人,個資防護最重要的不是導入一個多嚴密的防護系統,而是避免人為操作失當、疏忽、惡意所造成的外洩風險,當然組織也不能因為個資法的緣故,讓員工恢復以前的紙本作業,這就等於為了節能都不準用電的意思一樣,所以除了透過科技手法外,也要使用獎懲方式來規範員工行為。

 

當然,在導入DLP前,企業需先思考,外洩管道為何?如果企業的對外網路服務皆為自建自管(WebMailDNS……),就要考慮外部防護解決方案(Web AP Firewall IPS……),如果為員工外洩就必須要限制使用者行為。

 

問題在於管理使用者是一門大學問,處理的好相安無事,處理不好,造成對公司反感,甚至故意破壞及盗取資料,所以,針對使用者就要試想哪種管理方式比較好,如:封鎖使用設備或網路服務(USB/Web/FTP/IM),還是監控網路使用內容。

 

 

重點3:我該如何選擇DLP

 

市場上已有很多廠商提供了很好的DLP解決方案,組織該如何選擇,並沒有對或錯,但在功能選擇上還是可以多加留意,包括了:

 

1、軟/硬體的差別:

目前市面上大部份的DLP解決方案都是以軟體為主,但開始有廠商提供了專屬設備,主要是因為DLP需要監控網路封包,這時硬體的效能就很重要了,所以專屬設備對於軟體優化來說就非常好,但如遇到組織成員擴增時,專屬設備就顯得沒有彈性了,而軟體沒有專屬設備,所以可以依據組織成員規模佈署適合的設備,當然也可以預留升級的空間,但因不是專屬設備,所以並未對軟體進行優化,所以設備效能各方面都必須考慮(CPURAMI/ONetwork)

 

2、保護標的物:

舉凡存放個資的所有主機與資料庫,或是使用者的個人電腦與移動設備,甚至儲存媒體與組織對外的所有網路服務,都應納入保護的重要標的物,當然DLP並非一勞永逸的工具,所以搭配防火牆進行對外網路服務的封鎖,是比較適當的作法。以下為企業可以監看的檔案類形:

A、於網路端可以監控的類型:像是HTTP(S)WebMail、社群、Web HDFTPIM及組織使用之郵件系統等

B、於使用者端可以監控的類型:像是個資檔案移動、檔案內容拷貝、媒體複製、印表機、上網行為甚至透過SmartPhone同步資料。

 

3、內建範本:

BS10012PCIHIPPA、或是各國個資法令要求規範,這些都是與我國個資法都有涵蓋的範圍,所以為了有效設定正確的DLP防範政策,這些都是可以參考調整的政策範本,當然有些業者甚至還有提供我國個資法的政策範本,值得讓需要導入的讀者參考,最後要提的是,評估政策範本不在於數量多寡,而是能否自行調整政策,讓我們設計與組織最適合的政策並符合個資法,這才是我們所需要的。

 

4、使用授權與整合性:

台灣很多都是中小企業起家,甚至網路商店業者,但員工數量卻是屈指可數,幾乎很多都是微型企業,不過這些企業手上都擁有大量可觀的個人資料,但在導入DLP的第一步,可能就會遇到使用授權的難題,有些業者的DLP最少是50100人為一個基數,但網路商店業者的員工人數可能只有5人,卻要買100人授權,這個問題就需要業者思考對於基數的調整了。

 

另外就是整合性的問題,無論保護標的物是主機或是個人端設備,一定都已安裝防毒軟體,也已行之有年了,若能讓Endpoint端監控程式與防毒軟體整合在一起,除了管理容易外,對於端點設備的資源負載也減輕不少。

 

 

重點4:為何導入DLP會失敗?

 

前面提過DLP不是一勞永逸的工具,並非一帖見效保証成功的藥材,所以在導入前,整個組織在個資的安全維護計劃一定要夠周延,否則DLP充其量只是個空殼子,終究無法發揮最大的效果,以下簡單列出導入DLP的成功關鍵。

 

1、訂定個資的相關政策與程序

清查與明白個資存放位置與個資存取控制清單的建立是非常重要的,這悠關對於DLP的特徵比對政策是否有效,另外對於個資蒐集處理利用及傳輸之使用限制,也必須明訂清楚,有了這些使用限制,管理者也就可以依規定來制定DLP個資政策。

 

2、宣導與訓練

從以往資訊安全訓練就已是組織內基礎知識的一環,所以對於個資安全的宣導並不會有太多阻力,只是,在明確定義個資與適用法規時,是有對員工加強宣導的必要性,另外每個員工都有保護個資的相關責任與權力義務,也都必須讓員工清楚,避免造成作業疏失個資外洩。

 

3、應配合相關端點管理

除了DLP防範個資外洩外,對於端點的軟體安裝、系統設定的權限限制等,也必須多方考量,因為使用者的行為往往讓人意想不到,所以對於網路服務限制、加密硬碟與USB、甚至OTP都必須考慮,務必做到個資防範滴水不漏。

 

4、誰該看?

從以前有關員工行為管理解決方案的記錄裡,就一直在討論這個問題,當然DLP也不例外,主要也是這些被攔截的任何個資,在DLP上都看的清清楚楚,不管是信件內容、網頁內容、甚至傳送出去的任何檔案,都可以開啟,如果DLP的管理人員都可以看,是否又是另一條外洩管道?所以DLP的權責分工與權限最小化,是相當重要的議題,另外DLP記錄稽核作業,也是要注意的部份,本文最後答案並不會左右管理者誰該看,而是讓組織內的相關人員可以思考這個問題。

 

結論

DLP雖然是這幾年才有的解決方案,但我們如果把這些相關功能拆解開來,各位讀者是否也有似曾相識的感覺呢?個資外洩這個議題,除了有效的科技手法外,制度面與人員的宣導也是缺一不可,否則企業買到的工具永遠只是一個空殼、無法發揮效益。