SOC往往被用于响应外部的安全事件;而实际上,安全事件也可能由内部发生。内部威胁产生安全事件正在逐年增长,而造成的结果之一就是内部数据的泄露。为了追踪和防范数据泄露,DLP变得不可或缺。DLP也可以像SOC一样,将安全能力完全交由服务供应商提供。
像SOC一样,DLP系统往往被期望能做成“开箱即用”的解决方案。但现实却往往不是那么简单。
没有企业家会原因因为员工的疏忽,甚至恶意行为导致收入降低;因此,每个公司都需要仔细思考、甄别自身存在哪些敏感信息泄露的场景。
2020年的新冠疫情进一步促进了信息安全的外包服务,包括第三方维护DLP系统。安全管理人员意识到,即使对一些预算充足的大型组织,可能依然难以支持购买DLP系统。因此,订阅DLP支持服务会逐渐开始兴起。虽然企业依然需要购买系统或者设备,但是企业不再需要花费更多的人力去使用DLP产品,从而节省大量的预算。
这种服务的形式和SOC类似,由服务供应商提供完整的技术支持;这就意味着整个DLP产品的生命周期由供应商保障,而客户只会得到最终处理完成的事件报告,从而决定是否进行内部的调查。
在启动DLP系统之前,IT人员需要决定哪些信息是敏感信息,然后将条例写入内部的规范之中,并且作为公司的规章制度文档化。如果没有专门的规章制度,在安全事件发生时,很难就员工的责任进行裁决。
另外,咨询支持(甚至是法律层面的咨询)需要贯穿安全的各个阶段。一旦企业决定起诉员工或者联系警察,需要准备好各种证据以及文件。
任何一家计划购买DLP系统的企业都需要在以下三个领域得到支持:技术、分析和法律。如果缺乏这三个领域的能力,DLP系统即使能运作,效率也会大大降低。任何一家提供DLP服务的外包公司也应该能够在这三个领域提供支持。
并不是所有的供应商都会改变数年以来就一直使用的基于使用员工数量的计价方式,但有些厂商已经开始基于扫描的数据内容和类型开始计价。另外,部分厂商也愿意和企业就价格进行协商,并且对价格进行一部分减免。
在这种形势下,厂商和外包公司也会提供更完整的服务,包括类似SOC的运营模式。随着时间的推延,这种模式也会减少DLP的负面影响,比如在DLP安装和运营时面临的复杂问题。
平心而论,一些企业是无法接受DLP外包支持的,毕竟难以评估来自服务供应商处的信息泄露问题。IT经理会顾虑供应商本身是否会成为一个新的风险因素。因此,许多企业依然偏向于雇佣自己的员工管理DLP系统。
不过,这种思路未必靠谱。即使在合同中对员工施加的责任要求也无法保证他们不会产生信息泄露的问题。另一方面,许多政府都会要求在劳动合同中对员工进行一定的保护,从而会在某种程度上对企业不利。但是,和供应商签订的合同中,双方的权利对等,可以双边就一些问题进行协商(比如罚款、出现问题的惩罚措施等等)。
如果由公司内部员工管理DLP,公司就需要有一套完整的管理信息机密性的机制。如果员工仅仅从上司口头知晓规则,或者从邮件处了解到某条规则,大概率无法让法院判决员工违反了该规定。
外包公司是肯定不愿意违反这种规定的,因为他们业务的核心就是DLP服务。主流的服务供应商会在检查员工的可信度上投入大量精力,远远比企业检查自己员工的力度要大得多。
尽管说DLP市场规模从数量和工作人数上并不那么大,企业在进行选择的时候依然要考虑供应商的名声、和他们客户关系的历史情况以及关系的持久度。
整个行业来看,从单纯的产品到“产品+服务”是一个必然的趋势;而一旦厂商对自身产品的运维服务能力无法跟上,单纯的“安全服务能力外包”业务也会开始发展。但是,无论是哪一个方向,都标志着安全能力在从“产品”向“服务”转型。不仅仅是DLP,越来越多的安全能力会转向服务化,对企业而言能节省大量的成本,同时安全性其实会更提升一个档次;但是从供应商角度,如何通过服务,更好地实现安全能力,将会是一个持续性的难题。
关键词:DLP;安全服务;数据安全;
本文始发于微信公众号(数世咨询):不妨考虑一下DLP外包?
评论