資料保護面面觀

2017 年第一次接觸名為防數據外洩 (DLP) 的新科技,在那一個年代,企業大型數據外洩事件依然只是個預言,而非今天常見的頭條新聞。保障個人資料及私穩的法例在大部分國家都在起步階段。就算在一些較早立法的國家,大部份企業都沒有認真看待,令法例成為紙老虎。防止數據,特別是敏感數據外洩的責任往往只由資訊科技部門獨力承擔,普遍企業視防止敏感數據外洩為單純資訊科技問題,而非業務核心問題。

那時候,有很多同業會提出,如果要有效防止數據外洩,就必前要先將數據分類的想法。對一些未曾經歷嘗試過將數據分類處理的企業,這看似是一個合理的建議。但對一些經歷過數據分類的企業而言,它們明白這可能是一個沒完沒了的惡夢。由於企業會因應業務需要不斷產生新類型的數據,如果用傳統以手動流程去為數據分類,根本無法追上數據的增長。為了解決這問題,由用戶主導的數據分類技術就應運而生。用戶可以自行分類經由他們產生或處理過的數據,不論是撰寫新文件或傳送電郵,用戶都要為自己的新文件或新電郵分類。資訊科技部門無需再為承擔數據分類的責任而擔憂,每一個用戶都被授權去處理自己的數據,看似所以問題都迎刃而解。但實際執行上又會否產生新的問題呢?

經驗豐富的資訊保安從業員當然明白,現實永遠與想像有距離。由於用戶主導的數據分類技術需要有人的參與,事情往往會變得不可預測。因為我們所有人都不一樣,對同一個情境所作出的反應都可能不一樣。在實施用戶主導的數據分類技術的企業中,經常會出現三種情況,我會稱之為數據分類的「好」、「壞」以致「最壞」情況。

「好」是指那些會認真和仔細地分類數據的用戶。不幸地,今時今日,大部分企業裡只有少數用戶能做到。

「壞」是指那些為確保自己不會被受質疑,因而將所有數據都歸類為保密甚至機密類別。結果產生大量誤報,令保安從業員難以在大量警報中,識別出那一些是對企業構成真正威脅的事件。

「最壞」的情況,也是在企業中最常見的,就是用戶認為將數據分類只會妨礙其工作。這些人會將所有數據簡單地歸類為公開級別,以便逃避數據安全系統的監管。結果為企業帶來極大的風險。

由此可見,要避免壞及最壞的情況發生,企業需要一個能夠客觀和自動分類數據的解決方案,去彌補由用戶主導的數據分類之不足。

完善的數據保護解決方案將數據分類技術與 DLP 解決方案結合,幫助客戶減低數據外洩事件帶來的風險,並滿足各種監管要求。但是,鑑於保障個人資料及私穩的法例日益嚴格,企業要快速應對個人資料擁有者提出反對使用及擁有其個人資料,或要求刪除其個人資料。隨著數碼轉型,數據和用戶一樣無處不在,要保護數據並同時滿足法律要求已成為一大挑戰。我相信只有深度整合用戶主導和自動數據分類技術,並配合強大的數據安全解決方案,企業才可以更有效掌控數據安全,並對關鍵數據有更高的透明度和控制。

顯而易見,人類依然是資訊安全策略中的重要一環。透過結合用戶主導及自動化的數據分類,企業用戶不僅可以在他們創建的文件和電郵貼上數據分類的標籤,還可以通過自動化的數據分類,提升用戶數據分類的認知,並確保遵守正確數據處理流程,還可增強用戶的參與度和責任感,改善用戶整體的安全意識,並降低了整個企業的數據安全風險。

作者:Forcepoint 亞太區技術總監譚偉基