根據(jù)數(shù)據(jù)管理公司Iron Mountain的研究表明，數(shù)據(jù)丟失是IT高管們高度關(guān)注的問題，這家公司設(shè)計了五個步驟來對數(shù)據(jù)進(jìn)行保護(hù)并建立了數(shù)據(jù)保護(hù)日。

[[129058]]

如今這項(xiàng)國際行動已經(jīng)歷時九年，它旨在提高消費(fèi)者和企業(yè)對于保護(hù)數(shù)據(jù)，尊重隱私和建立信任重要性的意識。

選擇1月28號是因?yàn)樵?981年的這天，歐洲議會通過了關(guān)于個人數(shù)據(jù)保護(hù)的108決議，這是所有數(shù)據(jù)隱私和保護(hù)立法的根源。

Jennifer是Iron Mountain的資深產(chǎn)品和營銷解決方案經(jīng)理，他說各種規(guī)模的企業(yè)都能受益于數(shù)據(jù)安全性的改善。

“據(jù)國家網(wǎng)絡(luò)安全聯(lián)盟的消息，50%有目的的網(wǎng)絡(luò)攻擊是針對雇員數(shù)小于2500人的公司，”她如是說。

Burl說，企業(yè)可以采用五個步驟來保證數(shù)據(jù)安全從而避免法律和監(jiān)管上的問題。

步驟1：弄清楚數(shù)據(jù)的所在

“你在完全弄清楚你所保護(hù)的對象和它存儲的地方之前是無法完成安全計劃的，”Burl說道。

大多數(shù)企業(yè)將數(shù)據(jù)在多個媒介類型上進(jìn)行存儲：本地磁盤，基于磁盤的備份系統(tǒng)，離線磁帶以及云端。每種技術(shù)和格式都需要其自身的保護(hù)類型。

步驟2：實(shí)施需者方知的策略

要最大限度減少人為錯誤(或是好奇心)的風(fēng)險，就要創(chuàng)建策略來限制對特定數(shù)據(jù)集的訪問。

指定基于密閉工作說明的訪問。同樣要保證對訪問日志條目的自動記錄，這樣就不會發(fā)生有人訪問了某個特定數(shù)據(jù)集而沒有被檢測到的現(xiàn)象。

步驟3：加強(qiáng)網(wǎng)絡(luò)安全

“幾乎可以肯定的是，防火墻和殺毒軟件在保護(hù)著你的網(wǎng)絡(luò)。但是你需要確保這些工具是最新的且足夠全面來完成工作，”Burl說。

新的惡意軟件定義每天都在發(fā)布，而且殺毒軟件需要跟得上它們的節(jié)奏。

對于自帶設(shè)備來說，IT團(tuán)隊(duì)必須對其安全保護(hù)傘進(jìn)行擴(kuò)展以覆蓋雇員因?yàn)闃I(yè)務(wù)目的而使用的智能手機(jī)和平板。

步驟4：對數(shù)據(jù)生命周期進(jìn)行監(jiān)控和通告

創(chuàng)建一個數(shù)據(jù)生命周期管理計劃來確保企業(yè)老舊和過時的數(shù)據(jù)能夠得以安全銷毀。

作為此流程的一部分，公司應(yīng)該做到如下幾點(diǎn)：

對必須要進(jìn)行保護(hù)的數(shù)據(jù)加以識別并確定保護(hù)時長;

構(gòu)建包含脫機(jī)和離線磁帶備份的多管齊下的備份策略;

對成功的攻擊結(jié)果進(jìn)行預(yù)測，然后對所暴露出的漏洞進(jìn)行保護(hù);

將紙質(zhì)文件納入考量，因?yàn)樗鼈円部赡軙桓`取;

將所有可能存儲舊數(shù)據(jù)的硬件開列詳單并對復(fù)印機(jī)，過期語音郵件系統(tǒng)、甚至是老舊的傳真機(jī)進(jìn)行安全處置。

步驟5：對每個人進(jìn)行教育

“數(shù)據(jù)安全與每個人息息相關(guān)，”Burl說。“每一位員工必須明白數(shù)據(jù)泄露的風(fēng)險和后果，并且需要知道如何避免，尤其是在社交工程攻擊增加的情況下。”

“和你的員工談?wù)撝T如在未經(jīng)請求的郵件消息中巧妙偽裝的惡意網(wǎng)頁鏈接之類的漏洞。并鼓勵他們將電腦的奇怪表現(xiàn)說出來。”

構(gòu)建安全文化，讓每個人明白企業(yè)數(shù)據(jù)和對這些數(shù)據(jù)進(jìn)行保護(hù)的重要性。“因?yàn)楫?dāng)你仔細(xì)想想便知，其實(shí)每天都是數(shù)據(jù)隱私日，”Burl說。#p#

教育用戶如何保護(hù)經(jīng)濟(jì)

內(nèi)容管理公司Intralinks透露，很多人將不良安全習(xí)慣帶到了工作中來，因此對用戶的教育不只是對他們進(jìn)行保護(hù)，而且要包括對經(jīng)濟(jì)的保護(hù)。

Intralinks的歐洲首席技術(shù)官Richard Anstey說，告訴人們使用健壯的密碼可能會是反直覺的，因?yàn)樗鼊?chuàng)造了一種虛假的安全感，而人們又帶著它投入工作。

“在處理非常敏感的信息時，如互聯(lián)網(wǎng)協(xié)議，人們需要了解嚴(yán)密的安全措施，諸如信息權(quán)限管理，”他說。

據(jù)來自Anstey的說法，安全性意味著要了解什么是危險以及如何部署適當(dāng)水平的保護(hù)。

“如果我們想要擁有一個真正數(shù)據(jù)安全的環(huán)境，我們就必須首先保證讓人們了解他們數(shù)據(jù)的價值所在，然后他們就可以做出明智的決定來對數(shù)據(jù)進(jìn)行保護(hù)，”他說。

企業(yè)過于關(guān)注外部威脅

一家從事加密的公司Egress警告說太多的企業(yè)太專注于外部威脅。

Egress Freedomof Information(FOI)向英國信息專員辦公室的一份請求顯示，93%的數(shù)據(jù)泄露是人為錯誤的結(jié)果。

Egress的首席執(zhí)行官Tony Pepper說企業(yè)應(yīng)該開始尋找自身原因來避免數(shù)據(jù)泄露。

“諸如丟失包裹中未經(jīng)加密的設(shè)備或是發(fā)郵件給錯誤的對象之類的錯誤會給企業(yè)造成嚴(yán)重的損害，”他說。

Pepper補(bǔ)充說，F(xiàn)OI的數(shù)據(jù)顯示由于在處理敏感信息時的錯誤已經(jīng)造成了總額510萬元的損失，而到目前為止還沒有對因?yàn)榧夹g(shù)原因造成的機(jī)密數(shù)據(jù)泄露征收過罰款。

“人為錯誤永遠(yuǎn)不會被根除，因?yàn)槿藗兛倳稿e。因此企業(yè)需要找到一些方法來限制這些錯誤所造成的破壞，”他說。

據(jù)來自Egress的說法，在不妨礙生產(chǎn)的情況下保證工作安全的策略需要得到用戶友好技術(shù)的支持，同時還要在用戶犯錯的時候提供一個安全網(wǎng)。#p#

企業(yè)需要積極主動的數(shù)據(jù)安全方法

據(jù)一家名為Axway的數(shù)據(jù)管理公司說，企業(yè)在面對惡意黑客和數(shù)據(jù)泄露時需要采取積極主動的數(shù)據(jù)安全方法。

Antoine Rizk 是Axway的市場推廣項(xiàng)目副總裁，他說在一個連通性不斷增長的世界里，企業(yè)需要積極主動的監(jiān)控他們的數(shù)據(jù)流來避免代價高昂的數(shù)據(jù)漏洞。

“但是，很多大型企業(yè)在解決安全策略的缺陷之前還是習(xí)慣被動的等待問題的出現(xiàn)——這樣的舉動會適得其反，從而招致類似2014年發(fā)生的最為著名的安全漏洞事件，”他說。

Axway預(yù)測在2015年，自帶設(shè)備將迅速發(fā)展為自帶物聯(lián)網(wǎng)，并由員工將可穿戴設(shè)備帶入工作場所

“由于逐漸增加的企業(yè)移動性為業(yè)務(wù)打開了機(jī)會窗口，而并沒有給黑客們訪問隱私數(shù)據(jù)鋪平道路，所以必須要以和設(shè)備本身同樣的發(fā)展速度來完善安全性，”Rizk說。

“企業(yè)也需要了解員工會為辦公場所帶入和帶出什么樣的數(shù)據(jù)，從而確?？梢宰枞麗阂夤艉惋@眼的活動，”他說。

重點(diǎn)突出移動平臺上的風(fēng)險

據(jù)名為Arxan的應(yīng)用程序保護(hù)公司說，在數(shù)據(jù)保護(hù)日，突出移動平臺上日益增長的風(fēng)險是非常重要的，特別是在銀行和支付領(lǐng)域。

Mark Noctor 是Arxan的歐洲銷售主管，他說到2015年來自金融領(lǐng)域的安全風(fēng)險將成為主要的威脅。

“考慮到這一點(diǎn)，隨著銀行、支付提供商和客戶尋求在移動設(shè)備上做更多的工作，對移動應(yīng)用程序提升優(yōu)先級則至關(guān)重要，”他說。

Arxan的研究顯示在過去一年里排名前100的安卓和IOS金融應(yīng)用程序中分別有95%和70%被黑客入侵過。

這家公司說：“我們會建議那些考慮使用移動金融應(yīng)用程序的銀行和支付客戶采取以下步驟來提升安全性：

只從有認(rèn)證資質(zhì)的應(yīng)用程序商店下載銀行和支付應(yīng)用程序;

向你的金融機(jī)構(gòu)或支付提供商詢問他們的應(yīng)用程序是否可以防止逆向工程;

不要通過公共Wi-Fi連接郵箱、銀行或其他敏感賬號。如果無法避免——比如你花了很多時間在咖啡廳、賓館或是機(jī)場——可以付費(fèi)訪問虛擬專用網(wǎng)來大大提高對你在公共網(wǎng)絡(luò)空間上隱私的保護(hù)

向銀行或移動支付提供商詢問他們是否為在應(yīng)用程序商店中發(fā)布的應(yīng)用部署了自我保護(hù)功能。不要僅僅依靠安裝在你移動設(shè)備上的殺毒、反垃圾短信或是企業(yè)范圍的設(shè)備安全解決方案以防止黑客或是惡意攻擊來保護(hù)應(yīng)用程序“