公司企业必须进化自身安全实践,方可跟上不断变化的技术和相关安全威胁的发展。如果停滞不前,数据泄露的损失有可能是毁灭性的。
波耐蒙研究所《2016数据泄露损失研究》报告指出,每起数据泄露的总损失是400万美元,每一条包含有敏感或个人身份识别信息(PII)的被盗记录带来的损失是158美元。想象一下,数百万条记录失窃时,是多么令人崩溃。
这些损失便是公司企业必须选择最佳安全实践的原因,通常,这种实践指的是云的利用。下列十条安全建议,可供公司企业使用基于云的技术时优先考虑。
1. 为敏感文件列个清单
连自己有些什么都不知道,何谈找出缺失了哪些东西?保证文件的安全,意味着要做好标记:哪些信息存储在哪儿,存储方式是什么,访问方式有哪些等等。
2. 最小化非必要数据存储
存储非必要信息的唯一用处,就是给网络小偷更多的东西可偷。只需要存储仅够公司正常运营所需的数据即可。老客户的账单信息和前雇员的社会安全号与你的现有业务运营无关,只会成为网络小偷的潜在目标。把文件筛一遍,清除掉系统中的过时或非运营关键信息。
3. 确保主机托管有物理防护
信息是数字存储的并不意味着就没必要使用物理防护。服务器应被保管在上锁的安全的地点。如果文件存储在远程数据中心,该中心应具备《鉴证业务准则公告第16号》(SSAE 16)II类认证和全天候的物理安全。所有数据应在其他地方的额外服务器上有备份。
4. 使用高级加密协议
为最大化数据的安全性,采取所有必要的电子安全预防措施是十分紧迫的。这包括在传输时和平时都利用防火墙和SSL/TLS协议对文件进行高级加密。
5. 用多因子身份验证保证口令安全
一大批数据泄露都是口令使用疏忽的结果。口令应是定制的,且包含有宽泛的配置选择。建议采用多因子身份验证结合多次尝试不成功便锁定账户的方式。
6. 配置行为跟踪以记录访问历史日志
团队成员、同事、客户、承包商,大量人员有可能对特定文件具有访问权。如果每个访问者都赋予编辑权限,那么非正确修改的风险是避免不了的了。其他风险还包括恶意清除、蓄意破坏和共享机密信息。
行为跟踪功能可留下每个用户访问文件的相关信息,比如用户身份、访问时间、所做修改等。此类文件行为的总结可通过电子邮件或短信即时通报给管理员。
7. 保证最小外部访问授权
云的最佳益处之一(任何时候、任何地方都可进行访问),同时也是其最大风险之一。考虑一下被赋予访问文件权限的所有人,其中就可能有你连见都没见过却手握你最敏感数据访问权的人。
无论何时对文件赋予外部访问权,管理员都应该根据赋权角色对权限和控制进行定制。也就是说,每个人都应基于该项目的位置和责任被赋予打开、浏览或编辑信息的权限。就像网站设计顾问无权访问财务信息一样,某个客户也不应该看到你正在为别的客户做所的工作。
8. 限制公共WiFi的无线应用
智能手机、平板和笔记本电脑让在外办公变得容易,同时也为安全疏忽开启了方便之门。这些个人设备经常被用于个人事务,意味着可能会带来交叉影响,比如从一个设备向其他设备感染病毒或恶意软件。
另外,如果无线设备被盗或遗失,公司信息就有可能落入他人之手,通信也有可能通过公共WiFi网络被窃听。
使用虚拟数据室可以抵消公私混用设备相关的大多数威胁。
9. 培训并认证员工
未经合适的用户培训就授予云访问权这种事绝对不能发生。应该花时间对新员工进行云安全最佳实践培训,甚至可以考虑为所有员工安排安全教育日。
10. 使用《健康保险流通与责任法案》(HIPAA)作为指南
即使没有身处医疗保健行业,遵循HIPAA设置的隐私指南也不失为保护信息安全和机密的有效方法。使用HIPAA友好的项目管理软件能帮助确保你的数据收到一流安全协议的保护。
有很多方法可供公司用以让员工具备保护机密数据和最小化安全风险的能力。随着网络攻击每年带来4~5千亿美元的损失,忽视安全的后果是令人无法承担的。
遵循以上建议,你的企业会尽可能地在保证安全的情况下盈利。