小公司的数据保护：优先权还是 "小事"？

我们经常听到大公司泄漏机密信息的消息，以及他们为尽量减少安全事件的风险而采取的措施。然而，与此同时，媒体几乎没有报道小企业的信息安全问题。

小公司是否关注信息安全问题？如果是的话，他们是如何处理这个问题的？DLP系统（数据丢失防护）在小企业的安全回路中的作用是什么？为了回答这些问题，我们求助于信息安全和小企业领域的专家。

在转向小公司的员工监控软件使用问题之前，重要的是要弄清楚他们到底想保护哪些信息。Greatment Inc.的业务发展经理Stephen Lawson详细介绍了这一点。斯蒂芬-劳森详细地谈了这个问题。

"在我们的IT时代，数据保护问题几乎与信息交流过程中的每个参与者都有关。这当然适用于大中型公司和小型企业、个人企业家和普通人。安全的基石是一个正确定义和分类的保护对象。这可以是数据（例如，公司的发展计划，财务报告，使用的技术描述，发明），信息系统（人力资源，客户关系管理，ERP，BI，金融和制造系统），业务流程（制造技术），甚至是人（具有独特技能的员工，关键人物）。有些保护对象也是根据法规要求而确定的（如银行保密、个人数据）。保护方法和措施的选择取决于对需要保护的内容、必须保护的对象、有必要保护的地方以及不当保护可能导致的后果的理解。安全威胁模拟的完整性和质量，以及必要的措施将决定公司在长期内的支出金额。无论公司的规模如何，建立对安全威胁的保护应该系统地进行，也就是说，应该从制定一套措施开始，根据可能产生的负面后果的程度来保护威胁。有必要实施数据保护和创建组织程序，将责任分配给公司的某些人。例如，如果是非常小的公司，我们谈论建立几个信息安全条例，安装防病毒软件，对关键数据进行加密，并指导员工如何处理敏感信息"。

为了保护各种数据，公司可以实施DLP系统。然而，对于小型企业是否有理由使用DLPs，专家们意见不一。

领先的分析师，Symbolitics。

"小公司有必要建立DLP系统：现实表明，任何规模的公司都可能发生机密数据的泄漏。此外，还有大量的数据类型。商业秘密、独特的设计、技术规格--这些信息通常由大中型公司保护。小企业经常处理个人数据，即旅行社、保险公司、律师事务所--他们必须担心获得的信息的安全。

这就是为什么DLP不仅在企业而且在各种规模的公司都是必要的。当然，DLP系统是相当昂贵的软件。对于小公司来说，这是一个关键因素，他们正在寻找更实惠的解决方案。这就是为什么目前市场上的员工监控产品越来越受欢迎。这些系统有助于维持员工的纪律，发现业务流程中的问题，并部分解决DLP的问题。"

, 专业托管服务商Starrhost的信息安全部负责人。

"关于信息保护的想法，在任何层面上都是有需求的。尽管DLP解决方案的合格使用最终会导致成本和费用的减少，但小企业更愿意将安全措施限制在做出组织安排上，并与之合作，直到突破点。"

, Curso公司的信息安全主管。

"与经典的安全措施如防火墙、防病毒软件、加密保护不同，DLP解决方案仍在发展过程中，并试图在市场上吸引消费者的兴趣。这有几个原因。首先，大多数这类解决方案在购买（包括硬件组件）、实施以及雇用和培训操作DLP系统的人员方面有很大的开支。所有这些最终导致DLP在经济上对一个公司来说是不可行的。其次，是公众对DLP系统的存在和能力缺乏认识，以及对确保信息安全的问题缺乏关注的紧迫问题。特别是，这与小型企业有关，这些企业的特点往往是缺乏专门的安全专家，员工经常使用个人设备来解决与工作有关的问题，等等。为了实施防止机密数据泄漏的机制，小企业可以使用DLP作为专业组织提供的服务"。

担任Estation公司的财务总监。

"中小型企业往往对DLP解决方案感兴趣，但并不总是了解其实际功能和有效工作的必要条件。小公司对这种软件的要求通常是不现实的。如果不考虑高管们愿意亲自查看几乎每封电子邮件和其他转发数据的特殊情况，小公司往往期望DLP系统能够 "自己 "发现员工的不正当行为：贿赂、商业数据转移给竞争对手等案件。但是，任何DLP系统都没有自己的智能，它不能判断所收集信息的价值。所有的控制参数必须由系统的用户输入（一般来说，是公司的经济安全服务）。它至少需要最低限度的技术专长，了解公司的业务流程和各种数据的价值，充分的风险评估，对潜在犯罪者的心理有一定的了解，不断监测和调整（换句话说，花费大量的工作时间）。DLP只是安全人员手中的一个工具。而且，作为任何复杂的工具，DLP系统对使用它的人的资质水平有一定的要求。"

系统软件的产品开发部主管。

"小企业不经常使用DLP系统，因为这些公司通常没有足够的资金。此外，在小公司里，人们通常彼此熟悉，工作中的关系通常是信任的。在发展过程中，随着员工流动的增加，公司开始考虑员工监控和DLP系统。这通常发生在一个公司发展到200-300台电脑的时候。因此，潜在买家主要考虑简化系统，DLP只是一个补充，而不是基础"。

, Security code LLC的市场经理。

"小企业对DLP系统和其他信息安全手段的需求相当有限。这是由于引进这种系统不仅需要投资，而且还需要对信息安全问题有一定程度的了解。管理层应该清楚地了解哪些数据是保密的，谁应该访问这些数据，谁不应该访问。这个问题远远超出了IT管理员的责任和能力范围。尽管管理员通常是小公司中涉及信息安全的人。小企业的特点也是灵活和对成本的高度敏感。因此，全功能类型的DLP解决方案的引入几乎从未发生过。但是，如果一个公司购置了一个多功能的工作站保护系统，其中包含了一些DLP功能（通常是USB控制），那么这些功能就会被使用。"

, Purposeidler 项目负责人。

"我们公司认为，需要控制的不是数据（如经典的信息防泄漏系统），而是使用这些数据的员工。传统的控制系统有很多弊端。首先，它们笨重、复杂、实施成本高。所以，它们绝对不适用于小型企业。其次，经典的DLP系统监测工作中的数据。对特定的文件（通过文件名）或公司信息系统中的数据通过一些数据模式（例如，XXXX-XXXX-XXXX-XXXX的信用卡号码）进行监控。因此，如果你简单地改变了数据的格式，那么DLP系统将无法跟踪它。例如，如果你把信用卡号码从XXXX-XXXX-XXXX改为AXXXX、BXXXX、CXXXX、DXXXX，DLP系统就会认为它不重要，会出问题。第三，对数据使用的持续监控使员工的电脑和公司的资源超负荷。如果DLP系统检查所有流出的数据，那么任何故障都会导致公司被隔离"。

一些专家注意到小公司对DLP系统的需求，而另一些专家则认为这些解决方案在这一领域不受欢迎。让我们试着弄清楚，与大中型公司相比，小型企业对DLP的兴趣有多大。

年轻的企业家俱乐部主席，CloudSolutions首席执行官。

"DLP解决方案对大公司和小企业都有用，但只是作为信息泄露的预防措施之一。这类方案有利于提高员工的IT素养，因为其本质是评估信息泄露的风险。为此，要分析数据可能被泄露的渠道中的活动：电子邮件、即时通信工具和网络直接。在内容和背景（协议、活动、应用程序类型等）的基础上，该程序进一步生成安全策略，根据该策略阻止信息、报告违规行为等等。重要的是要明白，与防火墙不同，DLP解决方案并不完全阻止数据传输，而是试图分析网络中的人类活动，这使得公司有更高的数据泄漏概率"。

年轻的企业家俱乐部主席，CloudSolutions首席执行官。

"所有公司都有保护信息的兴趣。实施DLP解决方案的方法可能不同，但在21世纪，"信息的损失 "几乎等同于 "金钱的损失"，因此，合乎逻辑的是，每个公司都存在将这种损失风险降到最低的想法，无论其规模如何。"

"公司对DLP系统的兴趣不仅取决于其IT基础设施的规模和处理的数据量。当然，它主要取决于信息的存在，这些信息的泄露会造成损害，以及当前威胁的存在。因此，大公司和小公司对DLP的兴趣可能是一样的。但大公司有更多的机会和能力来使用这种系统"。

担任 "Expectronica"（I-Techio公司）的信息安全部负责人。

"首先，无论规模大小，有足够资金的公司都对DLP系统感兴趣。但请记住，DLP只是一个工具，它是否真的会被用于控制和防止泄密，还是仅仅是一个 "蓝图"，取决于许多因素：负责信息安全的管理人员的个人抱负、项目组的经验和对问题的明确定义。高质量的实施对于控制和预防泄密的有效性至关重要。值得注意的是，DLP系统的范围非常微妙，许多公司的此类项目的实施被官僚主义和法律技术问题以及高声誉风险所拖累"。

SenseBox的商业总监。

"DLP解决方案主要由大型企业使用。而这些系统最初的设计正是为了满足复杂企业机器的要求。但是，对数据保护的需求对每个人都是一样的：从初创企业到大型企业。而这里重要的不是企业主使用的软件水平的决定本身，而是对安全的态度。

DLP系统最初是从可称为偏执狂的安全方法中产生的：当我们试图使任何行动变得不可能或防止它。例如，想象一下，在一个购物中心的入口处，我们放一个带狗的保安，一个旋转门，一个金属探测器，并对每个购物者进行搜身。作为一种软件产品，DLP是类似于此的东西。在文明国家，人们依靠法律、警察和法院。而且不需要建围墙--你可以去任何地方。在这种情况下，如果有人胆敢违法，通常的防御机制就会被触发：警察到来，执法系统确保惩罚的必然性。

没有人可以阻止你以法律、雇佣合同中的条款和严厉制裁的形式限制某些员工对机密信息的接触。如果这些制裁和惩罚超过了潜在的信息盗窃所带来的利益，大多数员工就会放弃盗窃的想法"。

"在我看来，大公司对使用DLP解决方案更感兴趣，他们更了解这种系统可能有什么用处，并有足够的资源来有效使用DLP系统。最近市场上出现了一些解决方案，它们利用人工智能、机器学习和大数据分析方面的科学进步来促进安全专业人员的工作，并降低他们的资格要求水平。时间会证明这些解决方案将如何促进DLP系统在中小型企业中的更广泛分布"。

"大中型公司（尤其是金融业）更经常对DLP系统的使用感兴趣。对于一个成长中的公司来说，控制交易和员工的隐私变得越来越困难。在这种情况下，你很容易错过信息泄露，或者某个员工（由于某种原因失去了忠诚度）打算损害你的业务。不幸的是，没有任何系统能够完全防止对企业数据的直接攻击，但它可以大大复杂化这一过程，使泄密行为的利润更低，对犯罪者的风险更大。"

冯先生是KRAKE的信息安全主管。

"所有的市场参与者（大型企业和中小企业）都对DLP系统感兴趣，因为所有公司都存在信息泄露的风险。同时，数据泄露对中小企业部门的影响可能比对大型企业的影响更具破坏性。对前者来说，信息泄露很容易导致关键竞争优势的丧失，从而导致业务的关闭。对于大公司来说，这往往是一个声誉和财务损失的问题"。

"对使用DLP系统以及任何其他信息安全解决方案的兴趣不仅取决于公司的规模，更取决于其成熟度。一个公司越是意识到其数据的价值（对它自己和它的竞争对手），它就越是自觉地执行数据保护方面的信息安全战略。在这种情况下，必要的行动清单不仅包括引入信息安全手段，而且包括改革业务流程，以减少故意泄漏或意外的数据丢失的风险。

而只有当将安装DLP系统的业务流程被确定后，其实施才开始受到公司规模的影响。很明显，一个大公司可以在这样的项目上花费更多的钱，但技术要求也会更高"。

专家们的意见又出现了分歧。一方面，一些人认为公司的规模和它对使用DLP的兴趣程度之间缺乏联系，另一方面，一些专家认为大型企业对这种系统的需求最大。然而，在这两种情况下，专家们都认为有一些小公司将信息安全视为其优先事项之一，因此可以被视为DLP系统的潜在用户。那么，小企业对这类系统有什么要求呢？

"大客户通常选择 "智能 "和昂贵的DLP解决方案。小公司通常愿意在 "手动 "模式下使用这些系统，没有自动化的可能性，如果这种解决方案更实惠。出于这个原因，在中小型企业中，所有的事件都是在回顾中调查的。"

"如果你忽略了软件价格这个明显的问题，而在信息安全这个领域，价格是最重要的问题，并把重点放在功能上，那么你需要优先选择更 "杂食 "的安全软件。经常发生的情况是，小公司没有能力统一信息系统的各个要素，而只是根据手头的资料来建立系统。当然，这种做法的后果是IT系统中使用的设备的多样性"。

"公司适用于DLP系统的要求清单主要是基于公司IT基础设施的具体特点，包括使用的信息传输方法以及其数量。这使得消费者能够确定将由DLP系统控制的数据传输渠道。最受欢迎的控制功能是监控电子邮件、可移动驱动器、URL、即时通讯工具和打印。此外，对许多公司来说，DLP系统报告的形成往往很重要，因为它是向高管展示所实施的DLP系统的有效性的关键工具。"

"大型企业的代表通常试图在DLP的帮助下实现特定的目标：这种系统可能会被整合到已经建立的IT环境中，并有一个大的

众多的其他组件和解决方案来保护信息。相比之下，中小企业部分希望将DLP解决方案看作是一种 "多功能工具"，能够解决与信息安全有关的若干问题。另一个重要的要求是易于实施和必要的最小支持人员"。

"小公司的主要要求是最低价格。然而，开发DLP系统可能相当耗时，需要不断地更新"。

"小公司正试图购买低成本的解决方案，其部署极为简单，结合了多种解决方案的功能。他们专注于反病毒解决方案、流量和员工生产力控制系统，这些系统往往包含简化的DLP功能。在小公司，信息保护往往不包括在运营成本中"。

"小型企业对DLP解决方案的主要要求是价格低廉、易于实施和支持，以及符合法律要求。从功能的角度来看，小企业希望DLP系统能够监控打印和用户的电子邮件通信（在公司网络内，以及使用gmail.com或mail.ru等互联网邮政服务），阻止文件传输到外部驱动器或文件共享服务，并分析员工对社交网络和即时通讯工具的使用。

"小公司的资源非常有限。这适用于信息安全预算和专业人员的数量。通常情况下，小公司雇用一到两名IT专家，他们在不同程度上解决与IT和信息安全有关的所有问题"。

在这方面，专家们的意见几乎是一致的。小公司选择信息安全软件的主要因素是其成本和易于实施。这是由于与大公司相比，小企业的财力和人力资源都很有限。这种情况的后果是，人们希望得到一种低成本的多功能软件，可以由IT部门的一两个成员轻松地实施到企业的基础设施中。

然而，在今天的市场上，有一些相当实用的程序，可以帮助你的企业进行信息保护。而其中一些甚至是免费的。