在部署 E-DRM(Enterprise Digital Right Management;企業數位版權管理)/IRM(Information Rights Management;資訊版權管理) 的解決方案時,有兩個基本的部分:一個是解決方案的技術,包括軟體安裝與部署及相關配置。第二則是本文的重點,如何在組織內部建立必要的保護流程,以便有效的使用解決方案並實現其功能。
為什麼加密軟體的導入專案常會失敗?
許多加密軟體的導入專案,包括敏感資訊識別分類系統、DLP(資訊外洩保護)或 IRM(資訊權限管理)/ DRM(數位版權管理)都容易失敗,因為他們只聚焦在第一部份:純技術導入。很明顯的,產品必須穩定、可靠並經過測試才能導入成功,但不能只聚焦在技術面。
在一些導入失敗的專案中,可以看到客戶通常會留下一個已經安裝的解決方案,就說已經做好保護文件的準備。結果幾個月過去了,客戶不去使用它,因為他們不知道要從哪裡開始。
舉個例子來說:在 DLP 的導入情況下,他的複雜性在於如何去定義一系列且設定良好的規則來識別什麼是機密、什麼不是機密或什麼都不是,以及誰能取得某些訊息或誰不能。並且將這項任務,交辦給公司內部的資訊單位或是資訊安全團隊來進行定義,這絕對是一項艱鉅的任務,因為這些團隊很難知道什麼是機密或什麼不是。
此時就會想要透過資料識別工具進行識別:當使用者使用 Office 或是 Outlook 時,由使用者進行文件分類,並由使用者自行決定該文件是否公開或是內部使用、有限使用、機密、極機密等資訊。例如:公司財務報表,使用者可以將其標記為「機密」。但如果使用者為了分享方便,將該文件隨意標示為公開,同時,在該文件的內容也不存在於 DLP 的資料分類規則裡面,就有可能造成資訊外洩的風險,如此公司對於資訊保護所盡的一切努力和時間,都浪費在無法保護公司資訊的解決方案上。
另一方面,如果在 DLP 中建立更嚴謹的規則來阻止前述類似的資訊或文件輸出,會造成使用者生產力低落與使用者體驗不佳的問題。
而在DRM/IRM的情況下也發生了類似的事情,可看到使用者會遇到一個不友善的解決方案,對於每一份文件都必須指定要和誰分享,並且授予權限和設定相關選項,對於少數文件或許可以這樣做,但當文件越來越多時,可能會停止使用這樣的解決方案,或是給出過於籠統的設定。如果文件內容是機密的但要分享到組織外部時,若沒有一個很好的分享機制,則讓使用者產生混亂的可能性非常高。
導入 DRM 解決方案面臨的挑戰和疑慮
CIO(Chief Information Officer;資訊長)或 CISO(Chief Information Security Office;資安長)知道他們必須保護組織中最敏感且最機密的資產-公司內部「資訊」。大部分的資安投資並不是為了保護網路本身,而是為了防止不法分子任意存取保存在網路內部的「資訊」。
而 DRM/IRM 是最有效的資訊保護解決方案,存檔立即加密,不管文件到任何地方都是處於加密保護的狀態,並且能夠稽核所有的資訊存取行為,或是透過遠端進行文件召回,並阻絕沒有存取權限的使用者進行使用。對組織來說這些優點是非常顯著的,但也為 CIO/CSIO 在導入過程中帶來某些挑戰或問題。例如:
- 想保護機密的文件,但要從哪裡開始?
- 如何說服使用者保護機敏資料?
- 應該在多大的程度上,將控制權留給使用者或是將其集中化管理呢?
有時,CIO 對這些問題的回應過於簡單,不然就是使用極其複雜的方法。
以簡單方法與廣泛諮詢擬定保護策略真的行得通?
很多時候,許多經銷服務合作夥伴都會傳達,保護策略管理的方法非常簡單:只要建立起幾個策略,例如公開、內部使用、機密、極機密等,這樣使用者就可以有效地保護他們的資訊;其餘的,使用者可以根據需要再決定是否要保護它。然後就開始進行部署與導入,這通常與導入資訊分類的解決方案有關,並衍生出額外的問題,就如前面所述。
另外一個方式是透過「廣泛的諮詢過程」。聘請一大批顧問到公司內部進行文件機密等級的確認並建立為數不少的資訊分類,並定義數十個保護流程、設定數百條 DLP 規則。為此,必須花費數月時間與所有人員訪談,包括:資訊安全人員、業務人員等。做完這些流程必須要花費數年時間外,技術投資也是非常可觀。但其實可以透過 DRM/IRM 更簡單的方法來達成這樣的任務。
部署 DRM 解決方案深入組織的方法
除了瞭解解決方案部署的方式之外,資通電腦 ARES PP DRM 加密軟體的方法著重於如何建立保護策略以及組織如何應用與使用。多年來,已經將企業數位版權管理導入至許多公司,從幾十個使用者到數萬個使用者,透過這樣的方法,可以讓公司能夠將資訊安全文化在組織中深化,也更能保護與控制公司最敏感的資訊,無論是在組織內部或是外部。
而 ARES PP DRM 加密軟體的導入方法可由以下五步驟組成:
1. 參與
在導入類似的資訊安全解決方案或是 DRM/IRM 要能夠將資安意識深化在組織內部,最重要的是公司管理階層要能夠參與且支持,並確保公司由上至下目標保持一致。會導入 DRM/IRM 解決方案的原因非常多,例如:為了防止內部與外部資訊的外洩,所以在內部要實現資訊安全的資訊授權與管控;或是因為要與第三方合作,針對網路有可能出現的漏洞而導入這樣的額外保護,以及遵循法令法規等原因。
但這些需求有可能來自資訊領域、管理和業務或兩者皆有,有時擴及的範圍甚至更大。無論如何,如果一開始就得到管理層或各領域與部門的支持,解決方案的導入成功率就會大大增加。這就是為什麼要讓大家參與並且投入,這是對於專案導入成功與否非常重要的項目之一。
2. 優先
在導入時首要解決在組織中有哪些機密訊息是必須優先受到保護,例如:財務、人力資源資訊、公司研發文件等。另一方面對外有可能發送給上下游廠商,但我們也希望保持文件的安全並能控制文件的使用權。當然在開始導入時,有些組織想要一次到位「完整的保護組織內部的一切」,有可能這樣的作法適合在某些組織或單位內部使用,但它有可能會帶給使用者比較大的衝擊而造成使用者的抗拒。所以我們可以先定義出組織內部資料受保護的優先權後再進行保護策略的擬定,讓使用者在便利與安全間取得平衡。
3. 意識
如前面在「參與」的階段提到,這是一個必須得到管理層的支持,必須由上而下與使用者進行溝通,讓使用者瞭解到保護資訊的重要性。
當在導入類似文件保護的工具後,卻沒有人傳達使用該工具的必要性與使用方式時,將會面臨使用者不想使用的風險。又或者使用者存取資料文件時權限受到限制,若此時沒有人能夠解釋,將會發現使用者會抵制使用這樣的工具。所以如果一開始能夠透過訓練提升使用者的資安意識,並讓其在內部深化,這將對組織在資訊安全上產生莫大的助力,當然如果有一個不影響使用者操作體驗的方案,將會大大增加導入的成功率。
4. 保護
保護可以分階段進行,先行部署已被列為優先保護資訊的單位,並告知使用者在實施的保護策略上會產生什麼樣的保護效果,並因應使用者的業務行為進行相對應的策略調整,然後擴及至所有組織,在導入初期,可能會出現許多疑問,所以解決這些問題的敏捷性至關重要。這將使保護更加流暢,並將未來可能出現的疑慮最小化。
5. 深化
隨著使用者對於工具的瞭解與資安意識的提升,可發現與使用者的溝通更加順暢,且管理者可隨時透過稽核記錄方便察看是否有異常的行為,並透過該記錄協助管理者進行矯正預防措施,也能隨時透過使用者的反饋進行保護策略的調整,將保護擴展至公司的更多領域,使公司的資訊安全提升到另一個層次。
靈活的方法取決於組織的類型
然而,並非所有單位組織大小都是一樣的,也會因為行業的不同導入過程也會不盡相同,在規模小的公司能夠更快速的與使用者敏捷地溝通;而在大公司因每個人的分工相對較為細緻,但只要根據上述的導入步驟並且選用相對合適的解決方案,即可為公司帶來顯著的效益。