الملاحظات

التخطيط لمنع فقدان البيانات (DLP)

  • مقالة
  • قراءة خلال 9 دقائق

ملاحظة

يسمى التوافق Microsoft 365 الآن Microsoft Purview وقد تم تغيير تسمية الحلول داخل منطقة الامتثال. لمزيد من المعلومات حول Microsoft Purview، راجع إعلان المدونة.

ستخطط كل مؤسسة لمنع فقدان البيانات (DLP) وتنفذه بشكل مختلف، لأن احتياجات كل مؤسسة التجارية وأهدافها ومواردها وحالتها فريدة بالنسبة إليها. ومع ذلك، هناك عناصر شائعة لجميع عمليات تنفيذ DLP الناجحة. تعرض هذه المقالة أفضل الممارسات التي تستخدمها المؤسسات في تخطيط DLP.

نقاط بدء متعددة

تختار العديد من المؤسسات تنفيذ DLP للامتثال لمختلف اللوائح الحكومية أو الصناعية. على سبيل المثال، القانون العام لحماية البيانات (GDPR) أو قانون نقل التأمين الصحي والمساءلة (HIPAA) أو قانون خصوصية المستهلك في كاليفورنيا (CCPA). كما ينفذون منع فقدان البيانات لحماية الملكية الفكرية الخاصة بهم. ولكن يختلف مكان البدء والوجهة النهائية في رحلة DLP.

يمكن للمؤسسات بدء رحلة DLP الخاصة بها:

  • من تركيز النظام الأساسي، مثل الرغبة في حماية المعلومات في Teams رسائل الدردشة والقناة أو على أجهزة Windows 10
  • معرفة المعلومات الحساسة التي يريدون تحديد أولويات حمايتها، مثل سجلات الرعاية الصحية، والانتقال مباشرة إلى تحديد النهج لحمايتها
  • دون معرفة ما هي معلوماتهم الحساسة، وأين هي، ومن يفعل بها حتى يبدأوا بالاكتشاف والتصنيف، ويتبعون نهجا أكثر منهجية
  • دون معرفة معلوماتهم الحساسة، أو مكانها، أو من يفعل ما بها، لكنهم سينتقلون مباشرة إلى تحديد السياسات واستخدام تلك النتائج كمكان بداية ثم تحسين سياساتهم من هناك
  • مع العلم أنهم بحاجة إلى تنفيذ مكدس حماية البيانات Microsoft Purview الكامل وبالتالي تنوي اتباع نهج أسلوبي طويل الأجل

هذه مجرد بعض الأمثلة على كيفية تعامل العملاء مع DLP ولا يهم من أين تبدأ من، DLP مرن بما يكفي لاستيعاب أنواع مختلفة من رحلات حماية المعلومات من البداية إلى استراتيجية منع فقدان البيانات التي تم تحقيقها بالكامل.

نظرة عامة على عملية التخطيط

يقدم Learn about Microsoft Purview Data Loss Prevention الجوانب الثلاثة المختلفة لعملية تخطيط DLP. سنتناول هنا المزيد من التفاصيل حول العناصر الشائعة في جميع خطط DLP.

تحديد أصحاب المصلحة

عند تنفيذها، يمكن تطبيق نهج DLP عبر أجزاء كبيرة من مؤسستك. لا يمكن أن تضع تكنولوجيا المعلومات خطة واسعة النطاق من تلقاء نفسها دون عواقب سلبية. تحتاج إلى تحديد أصحاب المصلحة الذين يمكنهم:

  • وصف اللوائح والقوانين ومعايير الصناعة التي تخضع لها مؤسستك
  • فئات العناصر الحساسة المطلوب حمايتها
  • العمليات التجارية التي يتم استخدامها فيها
  • السلوك المحفوفة بالمخاطر الذي يجب أن يكون محدودا
  • تحديد أولويات البيانات التي يجب حمايتها أولا استنادا إلى حساسية العناصر والمخاطر المتضمنة
  • مخطط تفصيلي لمراجعة حدث مطابقة نهج DLP وعملية المعالجة

بشكل عام، تميل هذه الاحتياجات إلى أن تكون 85٪ من الحماية التنظيمية وحماية الامتثال، وحماية الملكية الفكرية بنسبة 15٪. فيما يلي بعض الاقتراحات حول الأدوار التي يجب تضمينها في عملية التخطيط:

  • موظفو التنظيم والتوافق
  • كبير مسؤولي المخاطر
  • الموظفون القانونيون
  • موظفو الأمان والتوافق
  • مالكو الأعمال لعناصر البيانات
  • مستخدمو الأعمال
  • تكنولوجيا المعلومات

وصف فئات المعلومات الحساسة التي يجب حمايتها

ثم يصف أصحاب المصلحة فئات المعلومات الحساسة المطلوب حمايتها وعملية الأعمال التي يستخدمونها. على سبيل المثال، تعرف DLP هذه الفئات:

  • الماليه
  • معلومات طبية وصحية
  • الخصوصية
  • المخصصه

قد يحدد أصحاب المصلحة المعلومات الحساسة على أنها "نحن معالج بيانات، لذلك يتعين علينا تنفيذ حماية الخصوصية على معلومات موضوع البيانات والمعلومات المالية".

تعيين الأهداف والاستراتيجية

بمجرد تحديد المساهمين ومعرفة المعلومات الحساسة التي تحتاج إلى الحماية ومكان استخدامها، يمكن للمساهمين تحديد أهداف الحماية الخاصة بهم ويمكن لتكنولوجيا المعلومات تطوير خطة تنفيذ.

تعيين خطة التنفيذ

يجب أن تتضمن خطة التنفيذ ما يلي:

  • تعيين حالة البدء وحالة النهاية المطلوبة والخطوات التي يجب اتخاذها من واحد إلى آخر
  • كيفية معالجة اكتشاف العناصر الحساسة
  • تخطيط النهج والنظام الذي سيتم تنفيذه
  • كيفية معالجة أي متطلبات أساسية
  • التخطيط لكيفية اختبار النهج أولا قبل الانتقال إلى الإنفاذ
  • كيفية تدريب المستخدمين النهائيين
  • كيفية اختبار نهجك وضبطها
  • كيف ستقوم بمراجعة وتحديث استراتيجية منع فقدان البيانات استنادا إلى تغيير متطلبات الحماية التنظيمية أو القانونية أو معايير الصناعة أو الملكية الفكرية واحتياجات الأعمال

تعيين المسار من البداية إلى الحالة النهائية المطلوبة

يعد توثيق كيفية حصول مؤسستك من حالة البداية إلى الحالة النهائية المطلوبة أمرا ضروريا للتواصل مع المساهمين وتعيين نطاق المشروع. فيما يلي مجموعة من الخطوات التي تستخدم عادة لنشر DLP. ستحتاج إلى مزيد من التفاصيل عن هذا، ولكن يمكنك استخدام هذا لوضع إطار لمسار اعتماد DLP الخاص بك.

رسم يوضح الترتيب الشائع لتوزيع DLP.

اكتشاف العنصر الحساس

هناك طرق متعددة لاكتشاف العناصر الحساسة الفردية ومكان وجودها. قد يكون لديك تسميات الحساسية التي تم نشرها بالفعل أو قد تكون قررت نشر نهج DLP واسع لجميع المواقع التي تكتشف العناصر وتدققها فقط. لمعرفة المزيد، راجع "معرفة بياناتك".

تخطيط النهج

عند بدء اعتماد DLP، يمكنك استخدام هذه الأسئلة لتركيز جهود تصميم النهج والتنفيذ.

ما هي القوانين واللوائح ومعايير الصناعة التي يجب أن تتوافق معها مؤسستك؟

نظرا إلى أن العديد من المؤسسات تأتي إلى DLP بهدف الامتثال التنظيمي، فإن الإجابة على هذا السؤال هي نقطة بداية طبيعية لتخطيط تنفيذ DLP الخاص بك. ولكن، بصفتك منفذ تكنولوجيا المعلومات، فأنت على الأرجح غير مهيئ للرد عليه. يجب أن تتم الإجابة عليه من قبل فريقك القانوني والمدراء التنفيذيين للأعمال.

المثال تخضع مؤسستك إلى المملكة المتحدة. اللوائح المالية.

ما هي العناصر الحساسة التي تمتلكها مؤسستك والتي يجب حمايتها من التسرب؟

بمجرد أن تعرف مؤسستك مكانها من حيث احتياجات الامتثال التنظيمي، سيكون لديك فكرة عن العناصر الحساسة التي تحتاج إلى الحماية من التسرب وكيف تريد تحديد أولويات تنفيذ النهج لحمايتها. سيساعدك هذا في اختيار قوالب نهج DLP الأكثر ملاءمة. يأتي Microsoft Purview مزودا بقوالب DLP تم تكوينها مسبقا من أجل الخدمات المالية، والخدمات الطبية والصحة، والخصوصية، ويمكنك إنشاء قوالب خاصة بك باستخدام القالب المخصص. أثناء تصميم نهج DLP الفعلية وإنشاءها، فإن معرفة الإجابة على هذا السؤال ستساعدك أيضا على اختيار نوع المعلومات الحساسة الصحيح.

المثال لبدء الاستخدام بسرعة، يمكنك اختيار U.K. Financial Data قالب النهج، الذي يتضمن أنواع المعلومات الحساسة EU Debit Card Number``Credit Card Numberوأنواع المعلومات الحساسةSWIFT Code.

أين توجد العناصر الحساسة وما هي العمليات التجارية التي تشارك فيها؟

يتم استخدام العناصر التي تحتوي على معلومات حساسة للمؤسسات كل يوم في أثناء ممارسة الأعمال. تحتاج إلى معرفة مكان حدوث مثيلات تلك المعلومات الحساسة وما هي العمليات التجارية المستخدمة فيها. سيساعدك هذا في اختيار المواقع المناسبة لتطبيق نهج DLP. يتم تطبيق نهج DLP على المواقع:

  • Exchange البريد الإلكتروني
  • مواقع SharePoint
  • حسابات OneDrive
  • Teams رسائل الدردشة والقنوات
  • أجهزة Windows 10
  • Microsoft Defender for Cloud Apps
  • المستودعات المحلية

المثال يتعقب المدققون الداخليون في مؤسستك مجموعة من أرقام بطاقات الائتمان. يحتفظون بجدول بيانات لهم في موقع SharePoint آمن. يقوم العديد من الموظفين بعمل نسخ وحفظها في موقع العمل OneDrive for Business، الذي تتم مزامنته مع جهاز Windows 10 الخاص بهم. أحدها يلصق قائمة ب 14 منهم في رسالة بريد إلكتروني ويحاول إرسالها إلى المراجعين الخارجيين للمراجعة. قد ترغب في تطبيق النهج على موقع SharePoint الآمن، وجميع المدققين الداخليين OneDrive for Business الحسابات، وأجهزة Windows 10 الخاصة بهم، والبريد الإلكتروني Exchange.

ما هو التسامح مع التسرب في مؤسستك؟

قد يكون للمجموعات المختلفة في مؤسستك طرق عرض مختلفة حول المستوى المقبول لتسرب العناصر الحساسة وما هو غير ذلك. قد يأتي تحقيق مثالية عدم التسرب بتكلفة عالية جدا على الأعمال التجارية.

المثال تشعر مجموعة أمان مؤسستك، جنبا إلى جنب مع الفريق القانوني أنه يجب عدم مشاركة أرقام بطاقات الائتمان مع أي شخص من خارج المؤسسة وعدم التسرب. ولكن، كجزء من المراجعة المنتظمة لنشاط رقم بطاقة الائتمان، يجب على المدققين الداخليين مشاركة بعض أرقام بطاقات الائتمان مع مدققي الجهات الخارجية. إذا كان نهج DLP يمنع جميع مشاركة أرقام بطاقات الائتمان خارج المؤسسة، فسيكون هناك تعطيل كبير في العمليات التجارية وتكلفة إضافية للتخفيف من التعطيل حتى يتمكن المدققون الداخليون من إكمال تعقبهم. هذه التكلفة الإضافية غير مقبولة للقيادة التنفيذية. لحل هذه المشكلة، يجب أن تكون هناك محادثة داخلية لتحديد مستوى مقبول من التسرب. بمجرد تحديد ذلك، يمكن أن يوفر النهج استثناءات لبعض الأفراد لمشاركة المعلومات أو يمكن تطبيقها في وضع التدقيق فقط.

التخطيط للمتطلبات الأساسية

قبل أن تتمكن من مراقبة بعض مواقع DLP، هناك متطلبات أساسية يجب تلبيتها. راجع المقاطع "قبل البدء " من:

نشر النهج

عند إنشاء نهج DLP الخاصة بك، يجب عليك التفكير في طرحها تدريجيا لتقييم تأثيرها واختبار فعاليتها قبل فرضها بالكامل. على سبيل المثال، لا تريد أن يقوم نهج DLP جديد بحظر الوصول إلى آلاف المستندات عن غير قصد أو قطع عملية عمل موجودة.

إذا كنت تقوم بإنشاء نهج DLP ذات تأثير محتمل كبير، نوصي باتباع هذا التسلسل:

  1. ابدأ في وضع الاختبار بدون تلميحات النهج ثم استخدم تقارير DLP وأي تقارير عن الحوادث لتقييم التأثير. يمكنك استخدام تقارير DLP لعرض عدد تطابقات النهج وموقعها ونوعها وشدتها. استنادا إلى النتائج، يمكنك ضبط النهج حسب الحاجة. في وضع الاختبار، لن تؤثر نهج DLP على إنتاجية الأشخاص الذين يعملون في مؤسستك. أيضا، استخدم هذه المرحلة لاختبار سير العمل الخاص بك لمراجعة أحداث DLP ومعالجة المشكلة.

  2. انتقل إلى وضع الاختبار مع الإعلامات تلميحات النهج بحيث يمكنك البدء في تعليم المستخدمين نهج التوافق وإعدادهم للنهج التي سيتم تطبيقها. من المفيد أن يكون لديك ارتباط إلى صفحة نهج المؤسسة التي توفر المزيد من التفاصيل حول النهج في تلميح النهج. في هذه المرحلة، يمكنك أيضا مطالبة المستخدمين بالإبلاغ عن الإيجابيات الخاطئة حتى تتمكن من تحسين النهج بشكل أكبر. انتقل إلى هذه المرحلة بمجرد أن تكون واثقا من أن نتائج تطبيق النهج تتطابق مع ما كان لديه أصحاب المصلحة في الاعتبار.

  3. ابدأ التنفيذ الكامل على النهج بحيث يتم تطبيق الإجراءات في القواعد وحماية المحتوى. استمر في مراقبة تقارير DLP وأي تقارير أو إعلامات للحوادث للتأكد من أن النتائج هي ما تنوي القيام به.

    خيارات استخدام وضع الاختبار وتشغيل النهج.

    يمكنك إيقاف تشغيل نهج DLP في أي وقت، مما يؤثر على جميع القواعد في النهج. ومع ذلك، يمكن أيضا إيقاف تشغيل كل قاعدة بشكل فردي عن طريق تبديل حالتها في محرر القاعدة.

    خيارات لإيقاف تشغيل قاعدة في نهج.

    يمكنك أيضا تغيير أولوية قواعد متعددة في نهج. للقيام بذلك، افتح نهجا للتحرير. في صف لقاعدة، اختر علامات الحذف (...)، ثم اختر خيارا، مثل "تحريك لأسفل" أو " إحضار إلى آخر".

    تعيين أولوية القاعدة.

تدريب المستخدم النهائي

عند تشغيل نهج DLP، يمكنك تكوين النهج الخاصة بك لإرسال إعلامات البريد الإلكتروني وإظهار تلميحات النهج لنهج DLP للمسؤولين والمستخدمين النهائيين. في حين أن نهجك لا تزال في وضع الاختبار وقبل أن يتم تعيينها لفرض إجراء حظر، فإن نصائح النهج هي طرق مفيدة لزيادة الوعي بالسلوكيات الخطرة على العناصر الحساسة وتدريب المستخدمين على تجنب هذه السلوكيات في المستقبل.

مراجعة متطلبات DLP واستراتيجية التحديث

ستتغير اللوائح والقوانين ومعايير الصناعة التي تخضع لها مؤسستك بمرور الوقت وستتغير أهداف عملك الخاصة ب DLP أيضا. تأكد من تضمين مراجعات منتظمة لجميع هذه المجالات بحيث تظل مؤسستك متوافقة مع تطبيق DLP الخاص بك ويستمر في تلبية احتياجات عملك.

أساليب النشر

وصف احتياجات عمل العملاء النهج
يقع بنك Contoso في صناعة منظمة للغاية ولديه العديد من الأنواع المختلفة من العناصر الحساسة في العديد من المواقع المختلفة.
- معرفة أنواع المعلومات الحساسة التي لها الأولوية القصوى.
- يجب تقليل تعطيل الأعمال مع طرح السياسات.
- لديه موارد تكنولوجيا المعلومات ويمكنه توظيف خبراء للمساعدة في التخطيط والتصميم والنشر
- لديه عقد دعم رئيسي مع Microsoft		 - خذ الوقت لفهم اللوائح التي يجب أن يمتثلوا لها وكيف سيمتثلون.
-خذ الوقت لفهم القيمة معا الأفضل لمكدس حماية البيانات Microsoft Purview
- تطوير نظام وصف الحساسية للعناصر ذات الأولوية وتطبيقه
- إشراك مالكي العمليات التجارية
- نهج التصميم/التعليمات البرمجية، والنشر في وضع الاختبار، وتدريب المستخدمين
- تكرار
TailSpin Toys لا تعرف ما لديها أو أين هي، ولها القليل من عمق الموارد أو عدم وجودها. وهي تستخدم Teams OneDrive for Business Exchange على نطاق واسع. - ابدأ بنهج بسيطة على المواقع ذات الأولوية.
- مراقبة ما يتم التعرف عليه
- تطبيق أوصاف الحساسية وفقا لذلك
- تحسين النهج وتدريب المستخدمين
شركة Fabrikam هي شركة ناشئة صغيرة وتريد حماية ممتلكاتها الفكرية، ويجب أن تتحرك بسرعة. إنهم على استعداد لتخصيص بعض الموارد، ولكن لا يمكنهم تحمل تكاليف توظيف خبراء خارجيين.
- جميع العناصر الحساسة موجودة في Microsoft 365 OneDrive for Business/SharePoint
- اعتماد OneDrive for Business SharePoint بطيئ، ويستخدم الموظفون/الظل تكنولوجيا المعلومات DropBox ومحرك أقراص Google لمشاركة/تخزين العناصر
- قيمة الموظفين لسرعة العمل على ضابط حماية البيانات
- قام العميل بشراء جميع أجهزة Windows 10 الجديدة التي يبلغ عدد موظفيها ال 18		 - الاستفادة من نهج DLP الافتراضي في Teams
- استخدام الإعداد المقيد بشكل افتراضي للعناصر SharePoint
- نشر النهج التي تمنع المشاركة الخارجية
- نشر النهج على المواقع ذات الأولوية
- نشر النهج على أجهزة Windows 10
- حظر التحميلات إلى التخزين السحابي غير OneDrive for Business

راجع أيضًا