保持公司数据安全的7个基础知识
每隔一周,媒体就会出现一次新的备受瞩目的数据泄露事件。从Target到Home Depot,再到iCloud,再到JpMorgan,再到Snapchat,再到白宫-以及最近对Sony pictures Entertainment的毁灭性攻击-总是有一个标题强调数据的丢失和信任的破坏。
但这并不意味着您的业务必须成为其中之一,并遭受平均数据泄露造成的惊人的350万美元损失。
以下是您今天可以采用的七种做法和产品,以避免进入数据泄露俱乐部。
1.为内心的威胁武装自己。
今天的数据风险不仅仅来自恶意黑客,即使新闻标题另有提示。普华永道最近的一项研究发现,与外部威胁相比,内部威胁和错误现在对业务安全构成了更大的挑战,这意味着无论规模大小,当今的企业不仅必须控制存储平台上的数据,还必须控制员工和业务合作伙伴的设备和帐户。
2.了解这片土地。
问问自己: “我们企业持有的最敏感、最机密的数据是什么,它是如何处理的,谁可以访问这些数据?”创建一个电子表格,将数据类型和服务与可以访问它们的员工和业务伙伴匹配。确保包括两种最敏感的数据: 客户信息和知识产权。
3.角色和权限。
一旦您确定了您的资产,请查看访问级别,以及它们是否可以通过策略进行监管,或者更好的是,以编程方式进行监管。要考虑的一个重要因素是,您选择的内容管理平台是否允许管理员为公司内的每个特定用例设置角色所需的控制深度。重要的是要完善这些内容,将重要数据的访问和编辑限制为授权员工。
4.了解你的弱点。
大多数人在服务 (包括与工作相关的程序) 中重复使用相同的密码。当大型零售商或服务提供商被攻破时,公司电子邮件和密码也很有可能受到影响。最近,类似的漏洞使攻击者能够访问数百万个Dropbox帐户,因为与该产品集成的第三方服务受到威胁,使数百万个用户名和密码容易受到攻击。
要了解以前是否发生过这种情况,请首先前往安全专家Troy Hunt的网站或Breach Alarm的免费工具,并通过其工具扫描员工的电子邮件地址-他们的数据库通常会更新最新发布的违规行为。
5.密码持有密钥。
为了防止类似事件,请使用强大的密码管理策略。教育员工永远不要在服务中重复使用密码并创建更强的密码 (不过,目标是长度超过各种字符) 也是关键。
可以理解的是,此要求导致难以记住密码,从而提高了生产率。如果可能,请开始使用密码管理应用程序。它们易于使用,会自动为每个服务生成强密码-最重要的是,它们是安全的。Lastpass是该领域的领导者。
6.预计下一次炮击。
关注安全新闻还有另一个重要原因。仅在过去的一年中,就发现了两个主要漏洞潜伏在广泛使用的软件中-Heartbleed和Shellshock。我们可以放心地假设,下一个漏洞被发现只是时间问题,当它们曝光时,注意新闻是很重要的 -- 特别是如果你的企业使用的任何软件受到威胁。对这些漏洞的大规模利用可能会在披露后的短短一周内发生,因此,如果您等待,您的业务将面临风险-甚至更糟的是,什么也不做。
7.做作业。
在选择要实施到业务工作流程中的服务时,重要的是不要为了提高生产力而忽视纯粹的安全性,这在当今生产力与云的疯狂环境中是一个容易犯的错误。进行尽职调查,并确保使用安全专业人员和您所在行业的相关协会推荐的服务,这些协会通常会发布与您的市场和监管环境相关的指南。同样重要的是,要确保您决定使用的服务包括隐私政策和保证,这些政策和保证将在您的系统遭到破坏时通知您。