根据数据管理公司Iron Mountain的研究表明,数据丢失是IT高管们高度关注的问题,这家公司设计了五个步骤来对数据进行保护并建立了数据保护日。
如今这项国际行动已经历时九年,它旨在提高消费者和企业对于保护数据,尊重隐私和建立信任重要性的意识。
选择1月28号是因为在1981年的这天,欧洲议会通过了关于个人数据保护的108决议,这是所有数据隐私和保护立法的根源。
Jennifer是Iron Mountain的资深产品和营销解决方案经理,他说各种规模的企业都能受益于数据安全性的改善。
“据国家网络安全联盟的消息,50%有目的的网络攻击是针对雇员数小于2500人的公司,”她如是说。
Burl说,企业可以采用五个步骤来保证数据安全从而避免法律和监管上的问题。
步骤1:弄清楚数据的所在
“你在完全弄清楚你所保护的对象和它存储的地方之前是无法完成安全计划的,”Burl说道。
大多数企业将数据在多个媒介类型上进行存储:本地磁盘,基于磁盘的备份系统,离线磁带以及云端。每种技术和格式都需要其自身的保护类型。
步骤2:实施需者方知的策略
要最大限度减少人为错误(或是好奇心)的风险,就要创建策略来限制对特定数据集的访问。
指定基于密闭工作说明的访问。同样要保证对访问日志条目的自动记录,这样就不会发生有人访问了某个特定数据集而没有被检测到的现象。
步骤3:加强网络安全
“几乎可以肯定的是,防火墙和杀毒软件在保护着你的网络。但是你需要确保这些工具是最新的且足够全面来完成工作,”Burl说。
新的恶意软件定义每天都在发布,而且杀毒软件需要跟得上它们的节奏。
对于自带设备来说,IT团队必须对其安全保护伞进行扩展以覆盖雇员因为业务目的而使用的智能手机和平板。
步骤4:对数据生命周期进行监控和通告
创建一个数据生命周期管理计划来确保企业老旧和过时的数据能够得以安全销毁。
作为此流程的一部分,公司应该做到如下几点:
对必须要进行保护的数据加以识别并确定保护时长;
构建包含脱机和离线磁带备份的多管齐下的备份策略;
对成功的攻击结果进行预测,然后对所暴露出的漏洞进行保护;
将纸质文件纳入考量,因为它们也可能会被窃取;
将所有可能存储旧数据的硬件开列详单并对复印机,过期语音邮件系统、甚至是老旧的传真机进行安全处置。
步骤5:对每个人进行教育
“数据安全与每个人息息相关,”Burl说。“每一位员工必须明白数据泄露的风险和后果,并且需要知道如何避免,尤其是在社交工程攻击增加的情况下。”
“和你的员工谈论诸如在未经请求的邮件消息中巧妙伪装的恶意网页链接之类的漏洞。并鼓励他们将电脑的奇怪表现说出来。”
构建安全文化,让每个人明白企业数据和对这些数据进行保护的重要性。“因为当你仔细想想便知,其实每天都是数据隐私日,”Burl说。#p#
教育用户如何保护经济
内容管理公司Intralinks透露,很多人将不良安全习惯带到了工作中来,因此对用户的教育不只是对他们进行保护,而且要包括对经济的保护。
Intralinks的欧洲首席技术官Richard Anstey说,告诉人们使用健壮的密码可能会是反直觉的,因为它创造了一种虚假的安全感,而人们又带着它投入工作。
“在处理非常敏感的信息时,如互联网协议,人们需要了解严密的安全措施,诸如信息权限管理,”他说。
据来自Anstey的说法,安全性意味着要了解什么是危险以及如何部署适当水平的保护。
“如果我们想要拥有一个真正数据安全的环境,我们就必须首先保证让人们了解他们数据的价值所在,然后他们就可以做出明智的决定来对数据进行保护,”他说。
企业过于关注外部威胁
一家从事加密的公司Egress警告说太多的企业太专注于外部威胁。
Egress Freedomof Information(FOI)向英国信息专员办公室的一份请求显示,93%的数据泄露是人为错误的结果。
Egress的首席执行官Tony Pepper说企业应该开始寻找自身原因来避免数据泄露。
“诸如丢失包裹中未经加密的设备或是发邮件给错误的对象之类的错误会给企业造成严重的损害,”他说。
Pepper补充说,FOI的数据显示由于在处理敏感信息时的错误已经造成了总额510万元的损失,而到目前为止还没有对因为技术原因造成的机密数据泄露征收过罚款。
“人为错误永远不会被根除,因为人们总会犯错。因此企业需要找到一些方法来限制这些错误所造成的破坏,”他说。
据来自Egress的说法,在不妨碍生产的情况下保证工作安全的策略需要得到用户友好技术的支持,同时还要在用户犯错的时候提供一个安全网。#p#
企业需要积极主动的数据安全方法
据一家名为Axway的数据管理公司说,企业在面对恶意黑客和数据泄露时需要采取积极主动的数据安全方法。
Antoine Rizk 是Axway的市场推广项目副总裁,他说在一个连通性不断增长的世界里,企业需要积极主动的监控他们的数据流来避免代价高昂的数据漏洞。
“但是,很多大型企业在解决安全策略的缺陷之前还是习惯被动的等待问题的出现——这样的举动会适得其反,从而招致类似2014年发生的最为著名的安全漏洞事件,”他说。
Axway预测在2015年,自带设备将迅速发展为自带物联网,并由员工将可穿戴设备带入工作场所
“由于逐渐增加的企业移动性为业务打开了机会窗口,而并没有给黑客们访问隐私数据铺平道路,所以必须要以和设备本身同样的发展速度来完善安全性,”Rizk说。
“企业也需要了解员工会为办公场所带入和带出什么样的数据,从而确保可以阻塞恶意攻击和显眼的活动,”他说。
重点突出移动平台上的风险
据名为Arxan的应用程序保护公司说,在数据保护日,突出移动平台上日益增长的风险是非常重要的,特别是在银行和支付领域。
Mark Noctor 是Arxan的欧洲销售主管,他说到2015年来自金融领域的安全风险将成为主要的威胁。
“考虑到这一点,随着银行、支付提供商和客户寻求在移动设备上做更多的工作,对移动应用程序提升优先级则至关重要,”他说。
Arxan的研究显示在过去一年里排名前100的安卓和IOS金融应用程序中分别有95%和70%被黑客入侵过。
这家公司说:“我们会建议那些考虑使用移动金融应用程序的银行和支付客户采取以下步骤来提升安全性:
只从有认证资质的应用程序商店下载银行和支付应用程序;
向你的金融机构或支付提供商询问他们的应用程序是否可以防止逆向工程;
不要通过公共Wi-Fi连接邮箱、银行或其他敏感账号。如果无法避免——比如你花了很多时间在咖啡厅、宾馆或是机场——可以付费访问虚拟专用网来大大提高对你在公共网络空间上隐私的保护
向银行或移动支付提供商询问他们是否为在应用程序商店中发布的应用部署了自我保护功能。不要仅仅依靠安装在你移动设备上的杀毒、反垃圾短信或是企业范围的设备安全解决方案以防止黑客或是恶意攻击来保护应用程序“