【TechTarget中国原创】RSA2008会议于4月7日举行。在会上的小组讨论中,三个行业高级安全官员说,如果安全和商业经理不能 “认识到”这是关于修补受损的商业行为,而不是吹捧数据丢失保护(DLP)产品,那么金融公司就无法有效地保护关键数据。
“他们在我在桌面上安装了一个浏览器的那天,我才知道我需要数据丢失保护。对DLP的需求先于对DLP工具的需求,”林肯金融集团的注册信息安全管理人员(CISO)Pat Lefemine说到,“既然我们知道人类的行为就是这样,我们就不得不控制、检测、并阻止它。”
DLP产品不能解决问题,但是可以帮助鉴别这些商业问题,提示业务经理哪个进程遭到破坏,以及为什么它关系重大,需要修补。
“那天结束的时候,这是一个商业决定,而不仅仅是安全决定,”巴莱克全球信息安全经理Rhonda MacLean说到,“我们有关于商业问题的事实和数据吗?”
Equifax公司信息安全高级副主席Tony Spinelli谈到,他的公司确认了在执行一项成功的DLP方案时遇到的几个挑战。该公司所面临的挑战是,拥有3亿消费者记录以及1.1亿商业记录。克服这些挑战需要做下面几件事情:
- 确保公司可以尽快适应一个阻止和防御系统。
- 排除错误的正面和负面的影响,确保合法的商业活动不受阻止。
- 与其它行业合作,建立强大的商业进程。
- 学习有用的课程,并将其应用到实际,做出大的改变
- 沟通。在策略、加强策略的工具、以及后续程序方面进行沟通交流。他说:“我们发现在这三方面进行交流,我们可以减少97%的事故。”
与会专家强调,试用DLP技术是关键,不仅要证明其能力,还要通过证明确实存在问题来赢得商业经理的肯定。热心的商业支持也是重要的,可以帮助解决资金问题,并确保有一个成功的方案。
Lefemine说:“我把DLP卖给高级管理层时,我害怕听到他们的训斥。” 他说,试验方案发现了令人震惊的侵犯以及他所预料到的被证实的号码。
他说:“只要我们的试用成功了,资金就不是问题。此外,我还得到了大量其它项目的信赖”。
MacLean说,企业经理起初可能会怀有防范和敌对心理,但为得出可靠的信息,情感因素就不在讨论范围之内了。
“我使用仪表板就头大。许多商业执行官告诉我如何解决这个问题,”她说,“对于这一情况重要的是要有技术和工具,接着就是围绕实际情况做出商业决定。”
尽管声誉风险和调整压力有力地驱动着DLP,但它除了安全和默认以外,还有更多的优点。注册信息安全管理人员可以帮助管理人员理解信息的处理方式,进而减少无效程序、削减开支、甚至创造新的机遇。这样注册信息安全管理人员就成为商业领域内的冠军。
“在巴克莱银行,我们使用DLP来了解商业进程,” MacLean说,“由于我们还不能很好的掌控我们的信息,所以还有一些我们没有想到的增加收入的机会。这是一个做出高效率改变的最佳时机。”