古时候,赵国有个人家里老鼠成灾,于是他找人要了一只猫。此猫不仅善于捕捉老鼠,还喜欢吃鸡。为了使这只猫更好地捉老鼠,赵国人为其准备足够的鸡。一月后老鼠被捉干净了,同时也少了一些鸡。他儿子表示不解,他解释说,我们现在最需要解决的就是鼠患,因此我们应该尽量满足猫的需要,让它努力工作。在完成某个任务时,谁最重要,就应该以谁为中心,尽量满足其需求,这样才能成功。企业在进行信息泄露防护建设时,往往会走入一个误区,即以少数几个决策人为中心,IT管理人员只顾推行上面的管控策略,却不顾下面占大多数的真正的用户。其实,后者才是信息泄露防护最重要的部分。
失“道”寡助
很多企业IT管理者在做信息泄露防护建设时常常抱怨说,其他部门不配合。其实在这样一个信息频繁泄露的时代,企业若为了保护自身的信息资产采取一些防泄密措施,大家都是可以理解的。但问题在于很多企业并没有花足够多的时间与精力去了解自身的实际需求以及防护所造成的现状改变,并提供相对合理的防护措施去把影响变的更小。如果只是急于求成的部署策略,采取强制措施,造成一些日常工作的不便,自然无法得到使用者的理解与支持,防护策略也就无法执行并形成效果。
显然并不是信息泄露防护建设本身有多难,而是企业对待信息泄露防护的态度造成了阻碍。溢信认为,安全事,人人事,防泄密工作需要企业所有成员共同参与才能取得良好效果。如果实施策略者(一般为IT管理人员)与应用策略者之间形成了对立关系,那么防泄密就变成了一场内耗战。
众志方成城
如何在安全的同时不影响效率?溢信科技提出了自己的建议,面对严峻的信息安全形势,企业应该认识到信息泄露防护是一场持久战,需要在企业内部建立全面的防泄密战线,尤其是要使用主体,即非IT部门一起参与。企业则要尽量从他们的实际工作流程出发,充分考虑其使用体验,为其提供贴心的“服务”,找到安全与便捷之间的平衡,从而赢得大家的理解与配合,防泄密才能持续有效的进行下去。
溢信建议,企业在成立信息泄露防护小组时,应该尽量确保每个部门都有参与,以保证每个部门的需求都能有效传达出来。其次企业在部署防泄密措施时,应根据不同部门的涉密程度实施个性化的防护力度,比如对于涉密程度较低的部门,部署基础的审计及基本管控即可;对于经常接触到敏感信息又频繁与外界交互的部门,除了审计之外必须还有严格的管控;针对核心部门,除了详细的审计和管控之外,可考虑部署文档透明加密,更深层次保护机密安全。再次为每个部门指定一位权限管理人员,让其负责本部门的信息安全。如果可以,应为普通用户提供直达高层的反馈渠道,以防止管理人员滥用权限。
当然,这样的信息泄露防护统一战线也不是短时间内就能达成的,甚至可以说不仅仅靠企业自身就能完成的,还需要安全厂商、国家相关部门的协助。不过毕竟企业是主导者,所以只有企业深刻了解自身的安全需求,积极防御并灵活调整,才能取得最佳效果。
|