DLP系統依功能分類
首先先歸納出那些資安功能大類是內部需要的,大致上可先把DLP產品分為本機操作、上網行為、軟體控管、資產管理、遠端控管。
如公司內大多使用NB,並多數員工可能將電腦帶回家或攜出公司使用,本機的控管就很重要,為了防止員工在外將資料任意寫出,可以透過連線/離線設定不同政策,限縮離開公司後的政策,達到雙重政策管控的效果。
如公司工作型態須要透過大量的網路,需要上網查資料、透過IM軟體與客戶溝通,並沒有限制員工的上網行為,但限縮上傳資料的檔案容量、記錄一些上傳到外的資料,就顯得格外重要。先確認想要控管的標的,再來研究各個資安廠商所提供的功能,搭配內部策略,才能發揮最大功效。
要怎麼做資安? 沒想法,專家建議先取得各式記錄
當不知道要如何開始做資安,可考慮先採用silent mode安裝方式(安裝在使用者電腦中,但不需讓使用者知道),先不控管使用者的行為,只作各種的行為記錄。就像大樓安裝監視器,在有限預算下應裝在人員出入多的地方,電腦記錄也應該要以可能有問題的人員先做安裝,例如即將離職、公司重要的研發部門等。接著透過回收的記錄,根據工作習慣再考慮那些是內部控管的重點,再做進一步的處理。
搭配部分控管,視需要再增加
到處都是監視器在錄影,但不裝門鎖,就像是讓資料任意流通不管理。當記錄量太大時,管理者可能會造成找不到記錄的窘境,同時也會需要大量的儲存空間。如果限制可資料流通的方式,發生問題的機率就小多了。
若內部一定要使用隨身碟,就可以從隨身碟控管起,(1)把不需要將資料使用隨身碟寫出的員工的隨身碟禁用,(2)有需要用隨身碟在公司內交換資料的可以加密寫出,(3)需要給外部廠商的可透過主管審核後,才把資料寫出。
當然內部也可以統一配發隨身碟,只允許使用發出的隨身碟,這樣就可以避免員工為了要回家工作,把資料透過隨身碟帶回,但又不小心遺失隨身碟時,或與離職員工把資料全帶走,但完全無法證實資料的流向,只知道資料外流了卻無可奈何。
買了個鎖,買了監視器,不代表家裡就不會遭小偷
大樓通常不會只有監視器,還會會增加刷卡裝置、控管電梯、增加大廳保全,住戶大門增加指紋鎖等,都是增加住家的安全。有人為了更保險,甚至在家中有保險箱存放重要物品。但有了這些管控,不代表家裡就不會遭小偷,東西就一定安全無虞,加入各種管控是降低貴重物品、重要資料被偷走的風險。
DLP資安管控的概念也是一樣的,公司不可能將所有資料流通的管道都鎖起來,但內部可對重要的資料交換管道作管控,因應工作需求再放開放,並搭配各式操作記錄;「萬一」真發生事情時,公司還可以透過控管系統找到類似監視錄影的各種「操作記錄」,試著找出問題發生的原因。
控管與方便總是天平的兩端,要管控的愈安全,就必須要犧牲一些不方便性,當員工知道公司有在管理資安時,員工操作電腦與處理資料時也會更加小心。要避免資料不要隨意外流,員工的資安意識也很重要,必須不斷的宣導,定期透過教育訓練課程,補強員工的資安知識,內部重要資產才得以完善保護。
報表分析,主管稽核以發揮最大功效
老闆都會問,導入一個系統到底有什麼功效?解決了哪些問題?
常見的防毒、垃圾郵件系統,老闆可以知道電腦都沒中毒、垃圾信變少了;但是資安系統呢?IT吱吱嗚嗚的說不出個所以然,最後只能說「風險應該降低了!」。
其實導入DLP資安系統,透過統計、報表分析,老闆可以更了解員工的工作習慣。例如統計上的網站數量,了解員工上網太多是否符合工作需要? 又如果突然有大量寫出檔案到隨身碟或大量刪除檔案,可能要了解是否員工有異動的情形? 工作時都操作那些軟體?
這些圖表或記錄,其實也不一定是老闆一個人看,而IT人員似乎又不適合看所有人員的記錄。建議部門主管可以扮演監督的角色,了解下屬的工作情形,若發現特殊狀況就可以及時處理;再透過稽核人員定期察看系統內統計圖表,避免IT人員不當的修改使用者權限,造成控管上的漏洞。這樣就可以將DLP系統發揮最大的功效,避免資料外洩。