公司企業(yè)必須進(jìn)化自身安全實(shí)踐,方可跟上不斷變化的技術(shù)和相關(guān)安全威脅的發(fā)展。如果停滯不前,數(shù)據(jù)泄露的損失有可能是毀滅性的。
波耐蒙研究所《2016數(shù)據(jù)泄露損失研究》報(bào)告指出,每起數(shù)據(jù)泄露的總損失是400萬(wàn)美元,每一條包含有敏感或個(gè)人身份識(shí)別信息(PII)的被盜記錄帶來(lái)的損失是158美元。想象一下,數(shù)百萬(wàn)條記錄失竊時(shí),是多么令人崩潰。
這些損失便是公司企業(yè)必須選擇最佳安全實(shí)踐的原因,通常,這種實(shí)踐指的是云的利用。下列十條安全建議,可供公司企業(yè)使用基于云的技術(shù)時(shí)優(yōu)先考慮。
1. 為敏感文件列個(gè)清單
連自己有些什么都不知道,何談?wù)页鋈笔Я四男〇|西?保證文件的安全,意味著要做好標(biāo)記:哪些信息存儲(chǔ)在哪兒,存儲(chǔ)方式是什么,訪問(wèn)方式有哪些等等。
2. 最小化非必要數(shù)據(jù)存儲(chǔ)
存儲(chǔ)非必要信息的唯一用處,就是給網(wǎng)絡(luò)小偷更多的東西可偷。只需要存儲(chǔ)僅夠公司正常運(yùn)營(yíng)所需的數(shù)據(jù)即可。老客戶的賬單信息和前雇員的社會(huì)安全號(hào)與你的現(xiàn)有業(yè)務(wù)運(yùn)營(yíng)無(wú)關(guān),只會(huì)成為網(wǎng)絡(luò)小偷的潛在目標(biāo)。把文件篩一遍,清除掉系統(tǒng)中的過(guò)時(shí)或非運(yùn)營(yíng)關(guān)鍵信息。
3. 確保主機(jī)托管有物理防護(hù)
信息是數(shù)字存儲(chǔ)的并不意味著就沒(méi)必要使用物理防護(hù)。服務(wù)器應(yīng)被保管在上鎖的安全的地點(diǎn)。如果文件存儲(chǔ)在遠(yuǎn)程數(shù)據(jù)中心,該中心應(yīng)具備《鑒證業(yè)務(wù)準(zhǔn)則公告第16號(hào)》(SSAE 16)II類認(rèn)證和全天候的物理安全。所有數(shù)據(jù)應(yīng)在其他地方的額外服務(wù)器上有備份。
4. 使用高級(jí)加密協(xié)議
為最大化數(shù)據(jù)的安全性,采取所有必要的電子安全預(yù)防措施是十分緊迫的。這包括在傳輸時(shí)和平時(shí)都利用防火墻和SSL/TLS協(xié)議對(duì)文件進(jìn)行高級(jí)加密。
5. 用多因子身份驗(yàn)證保證口令安全
一大批數(shù)據(jù)泄露都是口令使用疏忽的結(jié)果。口令應(yīng)是定制的,且包含有寬泛的配置選擇。建議采用多因子身份驗(yàn)證結(jié)合多次嘗試不成功便鎖定賬戶的方式。
6. 配置行為跟蹤以記錄訪問(wèn)歷史日志
團(tuán)隊(duì)成員、同事、客戶、承包商,大量人員有可能對(duì)特定文件具有訪問(wèn)權(quán)。如果每個(gè)訪問(wèn)者都賦予編輯權(quán)限,那么非正確修改的風(fēng)險(xiǎn)是避免不了的了。其他風(fēng)險(xiǎn)還包括惡意清除、蓄意破壞和共享機(jī)密信息。
行為跟蹤功能可留下每個(gè)用戶訪問(wèn)文件的相關(guān)信息,比如用戶身份、訪問(wèn)時(shí)間、所做修改等。此類文件行為的總結(jié)可通過(guò)電子郵件或短信即時(shí)通報(bào)給管理員。
7. 保證最小外部訪問(wèn)授權(quán)
云的最佳益處之一(任何時(shí)候、任何地方都可進(jìn)行訪問(wèn)),同時(shí)也是其最大風(fēng)險(xiǎn)之一。考慮一下被賦予訪問(wèn)文件權(quán)限的所有人,其中就可能有你連見(jiàn)都沒(méi)見(jiàn)過(guò)卻手握你最敏感數(shù)據(jù)訪問(wèn)權(quán)的人。
無(wú)論何時(shí)對(duì)文件賦予外部訪問(wèn)權(quán),管理員都應(yīng)該根據(jù)賦權(quán)角色對(duì)權(quán)限和控制進(jìn)行定制。也就是說(shuō),每個(gè)人都應(yīng)基于該項(xiàng)目的位置和責(zé)任被賦予打開(kāi)、瀏覽或編輯信息的權(quán)限。就像網(wǎng)站設(shè)計(jì)顧問(wèn)無(wú)權(quán)訪問(wèn)財(cái)務(wù)信息一樣,某個(gè)客戶也不應(yīng)該看到你正在為別的客戶做所的工作。
8. 限制公共WiFi的無(wú)線應(yīng)用
智能手機(jī)、平板和筆記本電腦讓在外辦公變得容易,同時(shí)也為安全疏忽開(kāi)啟了方便之門(mén)。這些個(gè)人設(shè)備經(jīng)常被用于個(gè)人事務(wù),意味著可能會(huì)帶來(lái)交叉影響,比如從一個(gè)設(shè)備向其他設(shè)備感染病毒或惡意軟件。
另外,如果無(wú)線設(shè)備被盜或遺失,公司信息就有可能落入他人之手,通信也有可能通過(guò)公共WiFi網(wǎng)絡(luò)被竊聽(tīng)。
使用虛擬數(shù)據(jù)室可以抵消公私混用設(shè)備相關(guān)的大多數(shù)威脅。
9. 培訓(xùn)并認(rèn)證員工
未經(jīng)合適的用戶培訓(xùn)就授予云訪問(wèn)權(quán)這種事絕對(duì)不能發(fā)生。應(yīng)該花時(shí)間對(duì)新員工進(jìn)行云安全最佳實(shí)踐培訓(xùn),甚至可以考慮為所有員工安排安全教育日。
10. 使用《健康保險(xiǎn)流通與責(zé)任法案》(HIPAA)作為指南
即使沒(méi)有身處醫(yī)療保健行業(yè),遵循HIPAA設(shè)置的隱私指南也不失為保護(hù)信息安全和機(jī)密的有效方法。使用HIPAA友好的項(xiàng)目管理軟件能幫助確保你的數(shù)據(jù)收到一流安全協(xié)議的保護(hù)。
有很多方法可供公司用以讓員工具備保護(hù)機(jī)密數(shù)據(jù)和最小化安全風(fēng)險(xiǎn)的能力。隨著網(wǎng)絡(luò)攻擊每年帶來(lái)4~5千億美元的損失,忽視安全的后果是令人無(wú)法承擔(dān)的。
遵循以上建議,你的企業(yè)會(huì)盡可能地在保證安全的情況下盈利。
京公網(wǎng)安備 11010502049343號(hào)