数据丢失防护对于任何捕获或存储数据的企业都至关重要。随着越来越多的敏感数据被收集，泄露的后果也在增加。在本文中，了解什么是数据丢失防护、最佳实践以及如何开始创建DLP策略。

什么是数据丢失防护(DLP)？

数据丢失防护(DLP)是一种保护敏感业务数据和信息免受数据泄露或敏感数据意外损害的方法。DLP识别、分类和跟踪整个企业的机密数据，通过披露政策防止未经授权的数据披露。当用户未经授权访问敏感信息时，就会发生数据丢失。数据丢失防护是一套防止数据丢失的工具和程序。

数据丢失预防规划最佳实践

定义目标

目标是驱动项目的引擎。你应该决定什么是最重要的。需要考虑的领域包括：

让所有部门都参与进来

一些公司有严格的、有限的预算。其他人可能有不情愿的领导者，他们看不到DLP的价值。如果您在宣传DLP计划的重要性时遇到问题，请考虑以下卖点：

了解您的供应商

询问供应商的相关安全问题。您会想知道软件应用程序是否与您的业务环境兼容。找出每个供应商的成本和功能，并确保它们非常合适。供应商应该能够与合规性、合作伙伴和他们使用的技术进行交流。他们还应该能够告诉您谁控制DLP程序，无论是内部还是供应商管理。找出人员配备要求以及这些将如何受到影响。

建立目标

定义一个易于实现的目标，然后推出解决它的计划。成功孕育成功。数据丢失预防计划可能对员工来说很复杂且令人沮丧。早期的胜利有助于鼓舞士气，并有助于将项目的连续性推销给决策者。

数据丢失的原因

数据丢失和数据泄露可分为三大类。这些类别可帮助您开发工具和程序来保护数据。

许多数据泄露的发生是因为关键资产没有受到保护。在许多情况下，这只是一个错误，例如错误配置的防火墙或使用默认配置的MySQL数据库。其他时候，违规行为与预算有关。如果没有足够的IT安全资金，专业人员可能缺乏有效保护数据的资源。

黑客中流行的一种态度是“如果没有被锁定，那就是公平的游戏”。在评估数据保护计划时记住这一点是个好主意。您忽略或忽略的任何事情都可能对您不利。

这是最常见的违约概念。犯罪分子攻击您的网络并获得访问权限。用于入侵系统的技术包括：

内部威胁

这是数据泄露的重击。内部威胁或攻击是指公司内部有人窃取数据。

如何制定数据丢失防护策略

评估当前数据使用

在实施全面变革之前，请评估您的数据环境的生态系统。找出正在使用的数据以及谁在使用这些数据至关重要。例如，在销售代表无法处理付款之前，保护支付卡数据可能听起来是个好主意。

可能需要定制解决方案。考虑使用“员工信息”、“知识产权”、“财务信息”和“客户数据”作为起点。这些类别允许您创建不同的规则来处理不同类型的数据。

监控数据使用和传输

建立类别后，检查数据的使用方式。识别存储位置和传输通道，为数据保护策略提供上下文。

轻轻开始

立即实施DLP系统可能很诱人。现实情况是，业务数据系统可能过于复杂，无法进行一次彻底的更改。更好的政策是首先解决更容易、更明显的目标，以管理最重大的风险，同时建立数据保护文化。

哪种类型的数据丢失防护适合您的组织？

数据丢失预防技术可以分为三类：

防止数据丢失的步骤

如果您的业务受到监管，则合规性是DLP计划的关键部分。从强制性法规开始有助于确保自定义数据策略不与合规性相矛盾。例如，医疗保健公司必须遵守HIPAA合规性。要处理信用卡，您需要一个PCI-DSS合规计划。

按风险和漏洞组织数据

按类型启动、识别和组织数据。下一步是分析每种数据类型。查看每个类别呈现的风险级别，然后查看它们的脆弱性以建立目标列表。从最危险和最易受攻击的数据类型开始。然后，实施一套政策和技术来保护它们。

定义用户角色

用户应具有明确定义的角色，以确保用户只能访问其工作所需的数据。示例可能包括允许访问支付卡数据的“销售代理”工作。另一个例子可能是“高级技术支持”，它可以访问错误报告和工程修复。也可以限制特定用户角色的数据。高级技术支持代理通常不需要访问支付卡数据。

让关键利益相关者参与

没有人像从事这项工作的人那样了解业务。花时间让来自公司不同部门的领导者参与进来。他们经常看到高层管理人员可以忽略的漏洞，并预测新政策的问题或冲突。如果员工参与制定新计划，他们更有可能接受新计划。

制定政策，实施技术

不言而喻，应该制定DLP计划。如果DLP计划需要审查所有防火墙设置，请确保员工负责该工作。创建购买、测试和安装新DLP软件的时间表。

人类会犯错误，我们看到问题的能力可能会受到限制。自动化数据丢失工具和策略有助于降低人为错误的风险。有些任务无法自动化。尽可能尝试创建自动保护数据的系统。例如，垃圾邮件过滤软件可以防止网络钓鱼攻击。用户受到保护，因为他们永远没有机会看到（或被操纵）网络钓鱼电子邮件。

教育将领导者的参与带到了下一步。帮助制定DLP计划的领导者已经了解该政策。下一步是培训单个团队成员。一个好的数据丢失预防策略是教什么，然后为什么。解释新系统和软件以及如何使用它。然后讨论一下为什么这种改变是必不可少的。帮助他们了解保护数据如何为公司及其客户带来胜利。

写下DLP解决方案的总体规划。出于几个原因，正确的文档是必不可少的。它有助于保持项目的任务。每个人都可以参考制定的协议和计划。其次，它有助于记录已实施的内容。如果有说明，该文档特别有用。至少，为DLP计划的每个部分留下简短的说明，说明“如何”和“为什么”。

一旦DLP计划到位，请定期检查并查看进度。大多数数据丢失防护工具都有报告指标。检查已阻止多少入侵尝试。查看服务器日志以验证是否正确使用了数据。

删除不需要的数据

永远保留数据可能很诱人。我们永远不知道什么时候需要它！旧的、未使用的数据可能是一种责任。如果七年后不再需要服务器日志，请将其删除。如果您不忍心删除它们，请将它们存档在长期、安全的存储中。这些数据可能看起来很有价值。但其价值很容易被其脆弱性所超越。当权衡数据泄露的成本时，旧数据可能看起来并不那么重要。

网络犯罪是一项大生意。以下是关于数据丢失及其后果的一些发人深省的事实：

DLP是一种文化，而不是灵丹妙药

构建数据丢失预防策略是当今数字业务的关键组成部分。数字犯罪的格局在不断发展。一个快速的、一次性的解决方案今天可能有效，但明天就会过时。相反，将政策制定为活文件。如果发现漏洞，灵活且以增长为导向的安全策略可以更好地适应新的威胁。最终，数据保护将成长为公司文化的核心特征。