所有企業(yè)都不希望看到因?yàn)閿?shù)據(jù)泄露事故而讓企業(yè)見諸報(bào)端，但是隨著安全威脅的不斷演化，加之不可預(yù)測(cè)的人為因素，數(shù)據(jù)泄露的風(fēng)險(xiǎn)正在不斷增加。

雖然技術(shù)能夠確保業(yè)務(wù)的開展、滿足監(jiān)管要求和保護(hù)機(jī)密數(shù)據(jù)，但是單靠技術(shù)并不夠：企業(yè)必須制定一套專門的政策(標(biāo)準(zhǔn)和指示等)來規(guī)定哪些數(shù)據(jù)需要受到保護(hù)，應(yīng)該在哪里執(zhí)行數(shù)據(jù)安全控制，以及數(shù)據(jù)應(yīng)該如何受到保護(hù)。

[[66161]]

這也是數(shù)據(jù)丟失防護(hù)(DLP)遇到的情況。對(duì)DLP最常見的誤解之一就是，認(rèn)為它是一個(gè)信息安全問題。事實(shí)上，它不單單只是信息安全問題，是關(guān)系到整個(gè)企業(yè)的問題。企業(yè)所犯的***錯(cuò)誤之一就是緊靠安全團(tuán)隊(duì)來部署數(shù)據(jù)保護(hù)項(xiàng)目。Gartner的***報(bào)告指出企業(yè)不能“簡單地設(shè)置后就放著不管”，必須在初期階段就讓業(yè)務(wù)利益相關(guān)者參與進(jìn)來，制定一個(gè)關(guān)于企業(yè)將如何解決數(shù)據(jù)泄露的明確的清晰的戰(zhàn)略。

建立管理數(shù)據(jù)保護(hù)控制(政策、標(biāo)準(zhǔn)、指令和指導(dǎo)方針)最有效的方法是通過(了解風(fēng)險(xiǎn)并對(duì)結(jié)果有投資興趣的)戰(zhàn)略業(yè)務(wù)線的協(xié)作來實(shí)現(xiàn)，這包括，但不僅限于，法律、隱私、安全和人力資源。綜合這些方面和其他利益相關(guān)者的觀點(diǎn)，能夠確保當(dāng)開始執(zhí)行數(shù)據(jù)保護(hù)項(xiàng)目時(shí)，技術(shù)控制不會(huì)成為阻礙，而是成為安全執(zhí)行業(yè)務(wù)的推動(dòng)者。

在實(shí)行管理控制的同時(shí)，還應(yīng)該制定操作文件以確定在處理技術(shù)控制所產(chǎn)生的輸出時(shí)，哪些團(tuán)隊(duì)?wèi)?yīng)該參與進(jìn)來。另外還應(yīng)該創(chuàng)建事件管理工作流程以確定在分流、響應(yīng)和調(diào)查階段中需要哪些資源。有一個(gè)精簡的數(shù)字調(diào)查結(jié)構(gòu)能夠大大減少事故發(fā)生和檢測(cè)之間的差距;減少企業(yè)損害(聲譽(yù)、財(cái)務(wù)等)或者正在發(fā)生的數(shù)據(jù)泄露。

“知道-做”的差距就是在實(shí)踐中我們所知道的和我們做的事情之間的差距：知道我們企業(yè)的管理控制有哪些，但是選擇不遵守這些控制。人為因素是最可怕的因素，因?yàn)樽铍y預(yù)測(cè)，并且無法通過技術(shù)來控制，這也是需要管理控制的原因。

在實(shí)施管理控制之前，關(guān)鍵利益相關(guān)者應(yīng)制定一個(gè)組織溝通策略，明確數(shù)據(jù)保護(hù)項(xiàng)目應(yīng)該如何進(jìn)行，并提供教育工具來減小“知道-做”差距。

這里有一個(gè)“知道-做”差距的例子：假設(shè)你的移動(dòng)員工在與客戶溝通時(shí)，沒有對(duì)企業(yè)應(yīng)用程序或網(wǎng)絡(luò)的直接訪問權(quán)，潛在客戶要求移動(dòng)員工發(fā)一份電子郵件以供日后參考，但由于這個(gè)員工沒有電子郵箱平臺(tái)的訪問權(quán)，他會(huì)認(rèn)為這一次可以使用他的公共webmail賬戶來向客戶發(fā)送信息。

賽門鐵克指出可以使用CMM(能力成熟度模型)的方法從戰(zhàn)術(shù)反映轉(zhuǎn)向積極戰(zhàn)略來解決風(fēng)險(xiǎn)管理和合規(guī)問題。CMM的目的是為企業(yè)提供一種方法來測(cè)量現(xiàn)有控制的強(qiáng)度，同時(shí)檢測(cè)哪里還有待改善。

在建立了良好的管理控制，加上對(duì)數(shù)據(jù)保護(hù)控制的成熟度評(píng)級(jí)，創(chuàng)造了一種瀑布效應(yīng)，為加強(qiáng)或部署技術(shù)控制的優(yōu)先級(jí)指明了方向。詢問一些重要問題，例如哪些是關(guān)鍵數(shù)據(jù)?關(guān)鍵數(shù)據(jù)存儲(chǔ)在哪里?數(shù)據(jù)是如何被使用的?如果沒有對(duì)企業(yè)數(shù)據(jù)的良好理解，就不能量化相關(guān)風(fēng)險(xiǎn)以及實(shí)施適當(dāng)控制。

與多個(gè)業(yè)務(wù)部門協(xié)作能夠確保從一個(gè)更全面的角度來明確風(fēng)險(xiǎn)或者安全團(tuán)隊(duì)不知道的數(shù)據(jù)使用情況。雖然來自各個(gè)業(yè)務(wù)線的評(píng)估結(jié)果是獨(dú)立的，但產(chǎn)生的結(jié)果能夠說明應(yīng)該優(yōu)先哪些工作，降低風(fēng)險(xiǎn)。

數(shù)據(jù)丟失防護(hù)(DLP)是需要人力和技術(shù)力量共同支持的業(yè)務(wù)問題。部署數(shù)據(jù)保護(hù)項(xiàng)目對(duì)于每個(gè)企業(yè)都是必不可少的，這不應(yīng)該是一個(gè)痛苦的過程。這個(gè)工作需要企業(yè)在較長的時(shí)間內(nèi)投入很多資源，在部署安全控制之前制定政策不僅不會(huì)成為開展業(yè)務(wù)的障礙，而且會(huì)成為安全執(zhí)行業(yè)務(wù)的平臺(tái)。