成功并非一蹴而就的坦途,而是一个化整为零、循序渐进的过程。部署加密也是这样的道理,并非只要部署了加密就可以高枕无忧,一劳永逸,如果不辅以正确的认知、人员及制度的配合,也难免会有孤掌难鸣的无奈和局限。IP-guard多年的加密经验总结,事实上,任何技术都存在现实的两面性,只有科学合理的应用,才能发挥最大的功效。
加密系统应用误区一:数据保护对技术做出过多的关注
很多企业都有这样的共同认识,对加密系统技术过度依赖,认为只要实施了有效的技术控制措施,只要技术上没有纰漏,就可以高枕无忧了,因此,大多数部署加密系统的企业在应用中表现出过多的对技术实施细节关注,而缺乏与现有流程的整合,同时缺乏对整体数据保护策略的认识,事实上,如果物理控制无效,敏感的信息还是有可能被拿走,导致泄密。
加密系统应用误区二:信息类别定义不当,用户安全意识不强
什么是敏感数据?哪里可以存储敏感数据?谁可以访问我的数据?大多数企业员工或用户对敏感数据定义并不明确,安全保密意识也不强,因为员工一时疏忽或者不小心造成信息泄密,为企业带来巨大损失的实例举不胜举,太多著名互联网公司因为客服,市场人员的安全意识疏忽,导致严重安全事故。安全意识必须是全员的,每一个接入公司网络的员工,每一个拥有公司邮件账号的员工,都应该具有基本的安全素质。首要问题,就是要对信息类别有准确明晰的定义!
加密系统应用误区三:没有明确的授权共享拥有权
加密软件拥有精细的授权机制,但是往往因为用户人员对流程机制的不熟悉或者不重视,导致出现“缺乏共享拥有人的集中授权清单”;“对已建立的共享拥有权意识不够”,的错误,为信息安全埋下隐患!同时也造成了访问权审批机制没有适当的环境,如“由不适当的人员执行审批(IT)”,很多企业都有这样错误的认知,把审批权限丢给IT工作人员,而没有酌情处理,同时对数据、用户和群组的了解、认识也有限,这就为授权、审批机制造成疏忽和漏洞,难免与泄密不期而遇!
加密系统应用误区四:授权审查流程不足或根本没有
在统计调查中,企业信息泄密一大重要原因就是员工离职随意带走资料为企业造成损失,而在已经部署加密系统的企业中,也不乏因应用上的误区导致泄密悲剧重演,很多企业在加密应用中,访问权限常常在用户离开企业后才撤销,这样导致权限未撤销的将离职用户仍然可以访问过去需要但现在已经不适合在访问的敏感数据,造成不必要的泄密损失!
加密系统应用误区五:缺乏利益关联方的参与
说到加密软件技术相关的,大家不自主都有这样的认识,觉得这是IT部门的事情,与自己关联不大,也有很多企业是这样操作的,IP-guard专家有话说,很多企业部署加密在应用过程中,都有这样的认识误区,将部署加密系统项目只看做IT项目而缺乏与企业利益关联方的协调,这样的认知是万不可取,牢不可破的加密系统是覆盖人员、流程和技术各个方面的。
IP-guard加密系统已经帮助许多客户部署实施,从这些经验中总结出以上五个颇有共性的应用误区,应该怎么样做才能更好的实践加密系统的部署应用呢?IP-guard专家总结以下经验,以帮助企业更成功的应用加密系统:
1、 部署加密系统之前首先要有确定的加密计划目标。作为计划的基础,首先要确立明确的目标,根据公司实际情况和战略指定加密计划,以确保将计划的中心放在保护企业最重要的数据上。
2、 加密系统的应用是覆盖人员、流程和技术各个方面的整体防泄密体系。整体防泄密计划,离不开人、流程和技术各方面的配合,所以,企业必须采取深度防御策略,首先明确人员的角色和责任,同时使用适当的工具识别和防止数据泄露,并实施有效的流程对事故进行调查并作出相应。
3、 加密系统的应用需要获得充分的行政支持、理解和参与。整个公司的支持和各个业务、运营单位的参与有助于让更多的用户接受帮助企业创建更安全的环境,同时确保获得企业各个关键阶段和环节的协助!
4、 加密首要是能够准确定义敏感数据。在企业内实施全面的加密计划可能会增加企业负担成本,所以企业不妨通过预先定义敏感数据并将计划的重心放在保护最敏感的数据上,确保将资源用于管理最大的风险上。同时也起到预警作用,为敏感数据设置安全区域!
5、 加密的核心是深度防御而不仅仅是遵从法规。企业要对加密计划的实施有明确的认识,加密不只是解决行业合规问题,而应该关注影响企业数据的所有风险!
6、 提升最终用户群体的安全意识。加密部署应用最终用户即是员工,如果员工没有认识并从根本上采取额外安全措施,还是有可能会寻求其他方法规避或绕过这些控制措施,所以提高安全意识也是重中之重,同时,还有助于用户在创建数据之初就旅行对数据分类的责任。
7、 采取必要的加密控制措施并监督其有效。部署实施了加密还不能高枕无忧,最红要的对这些措施及保护数据资产的有效性要实时监督,以便为改进流程提供反馈,同时正式的流程也可以保证数据目前和未来所受到威胁实施持续改进。
不断扩大的风险正变的越来越难以管理,在信息泄密问题上,防患于未然总好过亡羊补牢,虽然加密技术已日臻成熟,但是完善的加密方案是一套完整的加密体系,企业需要从人员及运营的流程上加以配合,才能实现最好的效果,只有根据上述信息对关键业务信息进行有效的保护,规避部署及应用加密系统的常见误区,才能在事故发生时迅速,有效的做出响应!