談到近年來協助客戶導入DLP的經驗,Check Point台灣區技術顧問陳建宏表示:「DLP是以資料為中心的管理機制,要落實控管,需要全公司同仁上下皆配合執行,若沒有納入公司管理政策規範,以及得到高層管理者的支持,而只是下達命令要求資訊部門執行,將很難會有成效。」
他表示,如果要利用DLP來協助個資法管理政策的落實,必須先清楚定義文件的重要等級,並且告訴系統一個控管邏輯。而DLP在邏輯判斷上是最複雜的,挑戰在於怎麼判斷資料可不可以被傳送出去,對此,Check Point在DLP中即提供自動學習功能,來簡化以往需耗費許多人力到各個單位調查、詢問的麻煩。
 |
| ▲Check Point台灣區技術顧問陳建宏提醒,面對個資法議題沒有捷徑,建立正確的認知後,再依據管理政策規範導入相對應的工具協助,才是較為務實的做法。 |
「自動學習功能的做法是系統建置完成後,一開始先提供一些關鍵字與樣板,之後系統即可主動監測。」陳建宏說明,一旦遇到已定義為機密的資料要求外寄,就會跳出一個詢問視窗,請用戶端回答為什麼要外寄,必須給一個理由。當然系統一開始還無法判定這個外寄行為是否合理正常,所以預設不會以阻斷來處理,但是不管允許與否,該動作都會被記錄。有了這份紀錄,一段時間後就可以據此詢問相關單位,在紀錄中是否有出現不符合單位規範的行為,再依據被認定為異常行為的紀錄在DLP中設定Policy,針對該部門的特定資料禁止外寄。整段的學習過程,他估算至少要3至6個月,之後詢問視窗會遞減,除非又出現一種全新的資料,系統才會再度出現詢問。
DLP除了可協助施行個資資料防護,陳建宏認為,另一方面也可讓員工對於外寄的檔案有較多警覺心。他表示,就曾有調查單位統計,約有八成以上的資料外洩是來自於員工的疏忽,像是發送電子郵件時,可能輸入錯誤或額外的郵件位置而不自知,因此DLP同時也是在預防員工不小心出錯的行為。
只是陳建宏不諱言,DLP設定的Policy可涵蓋的管理政策規範約八成,此外還必須搭配管理實體電腦與使用者行為才算完整。然而就目前客戶導入的狀況來看,少有用到完整DLP的方案,大部分較著重在有需求的特定部分而已,因為若要全面部署,實務上會有困難,畢竟公司文化、高層管理的認知等非IT層面的影響,往往才是成敗的關鍵。
因此他建議,想要DLP發揮效益,一開始就要先從管理政策面著手,IT技術只是輔助落實施行的工具。等到有明確的政策佈達後,工具再介入才能發揮效益。