根据数据管理公司Iron Mountain的研究表明,数据丢失是IT高管们高度关注的问题,这家公司设计了五个步骤来对数据进行保护并建立了数据保护日。
如今这项国际行动已经历时九年,它旨在提高消费者和企业对于保护数据,尊重隐私和建立信任重要性的意识。
选择1月28号是因为在1981年的这天,欧洲议会通过了关于个人数据保护的108决议,这是所有数据隐私和保护立法的根源。
Jennifer是Iron Mountain的资深产品和营销解决方案经理,他说各种规模的企业都能受益于数据安全性的改善。
“据国家网络安全联盟的消息,50%有目的的网络攻击是针对雇员数小于2500人的公司,”她如是说。
Burl说,企业可以采用五个步骤来保证数据安全从而避免法律和监管上的问题。
步骤1:弄清楚数据的所在
“你在完全弄清楚你所保护的对象和它存储的地方之前是无法完成安全计划的,”Burl说道。
大多数企业将数据在多个媒介类型上进行存储:本地磁盘,基于磁盘的备份系统,离线磁带以及云端。每种技术和格式都需要其自身的保护类型。
步骤2:实施需者方知的策略
要最大限度减少人为错误(或是好奇心)的风险,就要创建策略来限制对特定数据集的访问。
指定基于密闭工作说明的访问。同样要保证对访问日志条目的自动记录,这样就不会发生有人访问了某个特定数据集而没有被检测到的现象。
步骤3:加强网络安全
“几乎可以肯定的是,防火墙和杀毒软件在保护着你的网络。但是你需要确保这些工具是最新的且足够全面来完成工作,”Burl说。
新的恶意软件定义每天都在发布,而且杀毒软件需要跟得上它们的节奏。
对于自带设备来说,IT团队必须对其安全保护伞进行扩展以覆盖雇员因为业务目的而使用的智能手机和平板。
步骤4:对数据生命周期进行监控和通告
创建一个数据生命周期管理计划来确保企业老旧和过时的数据能够得以安全销毁。
作为此流程的一部分,公司应该做到如下几点:
对必须要进行保护的数据加以识别并确定保护时长;
构建包含脱机和离线磁带备份的多管齐下的备份策略;
对成功的攻击结果进行预测,然后对所暴露出的漏洞进行保护;
将纸质文件纳入考量,因为它们也可能会被窃取;
将所有可能存储旧数据的硬件开列详单并对复印机,过期语音邮件系统、甚至是老旧的传真机进行安全处置。
步骤5:对每个人进行教育
“数据安全与每个人息息相关,”Burl说。“每一位员工必须明白数据泄露的风险和后果,并且需要知道如何避免,尤其是在社交工程攻击增加的情况下。”
“和你的员工谈论诸如在未经请求的邮件消息中巧妙伪装的恶意网页链接之类的漏洞。并鼓励他们将电脑的奇怪表现说出来。”
构建安全文化,让每个人明白企业数据和对这些数据进行保护的重要性。“因为当你仔细想想便知,其实每天都是数据隐私日,”Burl说。
教育用户如何保护经济
内容管理公司Intralinks透露,很多人将不良安全习惯带到了工作中来,因此对用户的教育不只是对他们进行保护,而且要包括对经济的保护。
Intralinks的欧洲首席技术官Richard Anstey说,告诉人们使用健壮的密码可能会是反直觉的,因为它创造了一种虚假的安全感,而人们又带着它投入工作。
“在处理非常敏感的信息时,如互联网协议,人们需要了解严密的安全措施,诸如信息权限管理,”他说。
据来自Anstey的说法,安全性意味着要了解什么是危险以及如何部署适当水平的保护。
“如果我们想要拥有一个真正数据安全的环境,我们就必须首先保证让人们了解他们数据的价值所在,然后他们就可以做出明智的决定来对数据进行保护,”他说。
企业过于关注外部威胁
一家从事加密的公司Egress警告说太多的企业太专注于外部威胁。
Egress Freedomof Information(FOI)向英国信息专员办公室的一份请求显示,93%的数据泄露是人为错误的结果。
Egress的首席执行官Tony Pepper说企业应该开始寻找自身原因来避免数据泄露。
“诸如丢失包裹中未经加密的设备或是发邮件给错误的对象之类的错误会给企业造成严重的损害,”他说。
Pepper补充说,FOI的数据显示由于在处理敏感信息时的错误已经造成了总额510万元的损失,而到目前为止还没有对因为技术原因造成的机密数据泄露征收过罚款。
“人为错误永远不会被根除,因为人们总会犯错。因此企业需要找到一些方法来限制这些错误所造成的破坏,”他说。
据来自Egress的说法,在不妨碍生产的情况下保证工作安全的策略需要得到用户友好技术的支持,同时还要在用户犯错的时候提供一个安全网。