本質上,DLP就是以資料為核心,標的資料必須對公司而言是重要的、有影響力的,但如今面對個資法,只要擁有個人身分證編號、姓名、婚姻、教育等法規定義資料的企業,都必須開始關注。
「除了高科技製造業以外,企業大多是在法規的驅動下,才會開始想了解更多DLP。」McAfee技術經理許力仁觀察,一般想了解DLP解決方案的企業有兩大主軸,法規遵循與智財權保護。高科技製造業核心競爭力來源即為智慧財產權,對於新研發的程式、設計原圖等專利文件的保護一向不遺餘力,反而對法規較不積極;而其他的產業則是最近才開始關注。
McAfee DLP完整的解決方案包含Endpoint、Discover、Monitor、Prevent,除了Endpoint以外皆採硬體Appliance設計,任何一項皆可運用免費的McAfee ePolicy Orchestrator控管平台集中收集事件,並產出報表。許力仁表示,McAfee DLP不僅可垂直整合網路、伺服器與端點,亦可達橫向整合加密、周邊管制、主機防洩漏、網路防洩漏、資料庫監控、伺服器異動控制,同時透過中央整合管理所有方案。
DLP的特性是由內而外保護標的資料,當然基本思維就是把外洩原因聚焦在公司內部員工,造成在推動DLP時往往好像把內部員工假設為敵人,因此並非每個企業都願意如此做,若非因應個資法,實務上不易落實控管目的。
 |
| ▲McAfee技術經理許力仁提醒,就算預算充裕,建置一套完整的DLP,最後實用性卻不高,那就失去意義了。 |
「但是未必每個企業都需要一套完整的DLP來因應個資法。」許力仁強調。企業在評估階段常遇到市場上眾多解決方案如何選擇的問題,他表示:「其實所有的產品只要能達到管理目的就是好產品,並不是取決於價格昂貴、最多功能。假設管理目的只是因為業務經常在外地出差可能會有遺失筆記型電腦導致機密資料外流的風險,其實硬碟加密就已足夠。」
面對個資法的議題,仍然有企業期望能找到捷徑式的答案,許力仁舉例,常被問到是否導入DLP就可符合個資法要求。事實上,還有更多細節,並非IT技術可以協助。
「技術是用來解決人力難以達成的事。以McAfee Discover來看,可以針對檔案伺服器、網頁伺服器、資料庫等系統做盤查,確實統計出檔案類型,之後再找出個資定義的欄位資料,散落在那些檔案中。而這些動作若沒有善用工具,不僅曠日廢時,更會有疏忽遺漏之處。」許力仁說。
其實資訊安全管理本質上就無法一蹴可幾,更何況面對這麼嚴謹的個資法規,在實務上可說難以短時間內就完成所有的建置,階段性的導入比較容易落實。