洩庫事件讓所有的企業IT管理人員都如履薄冰,如何才能保護企業的敏感資料不洩漏,成了目前企業IT管理人員的必修課。以下是我們總結出來的企業IT管理人員在保護企業資料時應瞭解的八件事情,以供大家參考:
1、每個企業都有敏感資料。
敏感資料是指你不希望未授權的人看到的資料,不論企業大小,每個企業都有這類資料。包括員工工資,銀行賬戶,客戶信用卡賬戶,交易機密和體檢記錄等。
2、資料丟失時有發生。
IT行業幾十年來都致力於讓使用者更快速更便捷地共享資料。我們現在希望複雜的資訊可以迅速傳播到全球,使其隨時供使用者使用。然而,其負面影響便是導致資料容易丟失。比如,大多數人都有過把電子郵件發錯郵箱的經歷。而且,你只需幾秒就可以將檔案上傳到USB或CD上,而這樣儲存裝置也很容易丟失。
另外,現在非常流行的移動裝置,如筆記本,平板電腦和智慧手機也是如此。所有資料丟失中有75%都是意外,因此這顯然是一個安全焦點區域。
3、不法分子正覬覦你的資料。
為了名氣寫病毒的`做法已經過時。現在很多惡意軟體旨在偷取未檢測資料。有些資料,如信用卡賬戶,顯然對不法分子有價值。但是,這些人的目標範圍也越來越廣,他們試圖從郵件地址及公司智力資產等途徑獲利。當然,黑客不是僅有的資料偷竊者。企業還有小心員工盜取資料及USB儲存裝置以及其他儲存了敏感資訊的硬體。
4、敏感資料丟失會帶來嚴重損失。
許多國家和行業都有針對資料丟失的金融處罰。即便你不想被罰款,但是後果仍會很嚴重。這包括消除資料洩露的成本,如通知受影響單位並使其免受損失。更糟糕的是,洩露的R&D祕密可能落入競爭對手的手裡,這會對企業造成長期影響。對名譽的損壞也是另一大威脅,因為消費者也開始意識到了資料丟失的破壞性。
員工方面也不好交代,想象一下,如果工資表洩露,或者併購計劃洩露,會出現什麼情況?這會打擊員工的信任感與認同感,而員工的流失對企業也有影響。
要計算出企業資料洩露可能帶來的經濟損失,首先要考慮的是你手中有多少敏感資訊。然後再思考如果這些落入不法之徒手中你會損失多少。例如,如果你客戶的資料庫是主要資產,那麼如果有員工將資料偷給競爭對手,你會損失多少?還要考慮善後的成本,如告知客戶你弄丟了儲存有他們信用卡賬戶的CD,另外還有由此帶來的信任缺失。
5、資料加密不是一勞永逸的方案。
如果你的資料加密過,那未授權使用者就無法讀取。但是每個企業的加密需求不同。正確的做法是按照多個要素,包括資料型別,資料操作方式(如,是通過郵件傳送還是通過第三方共享),所在行業以及你可以控制的資源。在制度完善的行業中需要更嚴格的可進行綜合彙報的方案。而其他行業可能只需確保丟失的筆記本不會輕易顯示資料。
資料狀態分三種:
a) 閒置:如儲存在電腦或伺服器上的資料;
b) 使用中;
c) 傳輸中:如通過郵件傳輸或通過U盤傳送的資料。
當你思考如何保護敏感資料時,需要想一想這三種狀態的資料分別是哪些。如果你在筆記本和U盤上儲存了大量資料,那麼有必要對裝置加密。如果需要傳送攜帶敏感資訊的附件,那麼有必要對郵件加密。
6、其實既不費事也不費時。
企業可選的加密方案很多。從直接加密(自動整合到端點安全)到政府級別的方案不等。
7、加密只是方案的一部分。
加密是保護資料的核心部分,但是對使用者的教育也很重要。資料只在人們使用的時候才具有存在的意義,如果人們不訪問這些資料,它們就沒什麼價值。
雖然利用技術手段可以顯著減少資料丟失的風險,但是卻不能消除風險。因此除了部署正確的方案外,還要為使用者普及安全知識。其他可用於資料安全的技術還包括裝置控制元件,應用控制元件和反惡意軟體產品等。
8、資料安全——下一步是什麼?
我們處於資訊知識經濟社會。4G和下一代智慧手機連線的下載速度會達到100Mbps。這意味著整個資料庫可以在幾秒內下載完。智慧手機和平板電腦可能逐步取代傳統PC。
在最近Sophos的一項調查中發現,70%的商業使用者都擁有智慧手機作為商用或供個人使用。這種趨勢會增加資料移動性也會將家庭與工作場所的界線變得更模糊。