根據MIC資策會的調查,台灣目前已經有70%的金融產業採用資訊委外服務,完善的資訊安全服務,事實上是降低成本的好方法外,除此之外,最大的原因不外乎客戶個人資料的重要性,資訊委外服務,能協助金融產業應付目前相當受關切的資料外洩問題。
 |
| ▲達友科技資深安全顧問林皇興表示,DLP導入企業遇到比較大的阻礙是政策的制定,如何彈性制定最適合公司的安全政策,是導入DLP方案後相當重要的問題。 |
「達友科技投入資料外洩防護相關議題的工作已經有五年之久,」達友科技資深安全顧問林皇興表示,「早期資料外洩相關安全技術主要是在管控資料流經的通道,只需要考慮阻擋或是放行,而現在DLP解決方案則延伸到資料內容的識別與過濾,能夠對資料使用及互動的行為進行更彈性的管控。」
一般而言,DLP導入初期還是會發現相當數量的洩密事件,但隨著時間將會逐漸發現資料外洩的比例大幅減少,原因在於企業資料外洩大部分來自於內部使用者不小心的行為,隨著導入時間拉長,使用者也不斷地受到教育,原本常見的不當使用資料行為就會相對減少。「DLP跟導入ERP和CRM很像,都必須取得使用者的共識,而因為DLP和公司內只要有接觸資料的人都有關連,所以可以藉此對使用者機會教育,建立資訊安全觀念。」林皇興說。
現在使用者對Webmail、點對點傳輸或是IM即時通訊都有一定的依賴程度,企業組織都必須納入資料外洩的考量。「DLP導入企業遇到比較大的阻礙是政策的制定。」林皇興指出。
「政策制定太嚴格會對企業業務進行造成不方便,合法的資料使用行為可能會被阻擋,但是制定得太鬆卻會有很高的風險。如何拿捏政策的制定是一門學問,因為現在資料型態和內容千奇百種,確實不好掌握,所以還需要靠其他機制來搭配,例如經由後門程式或外部入侵時就不可能期待DLP能為安全做到一切保護。」
不是每個企業都有CSO(安全長)的配置,所以DLP的導入就必須要有通盤的業務了解,讓各部門的權限主管或稽核人員,能夠共同制定DLP政策。「達友科技是以顧問服務的角度協助企業組織導入DLP解決方案,幫助企業認清公司內部資料位置以及每個使用者與資料的連結關係。」林皇興表示,由於2008年金融海嘯與全球市場不景氣,大多數企業對DLP仍在評估階段,目前還是以高科技製造業保護R&D資料為最多的案例,但可預見2009年資安廠商將會推出更完整的DLP方案涵蓋各個不同的產業別。