事实上,CDW的研究显示,在过去的两年里,每四家机构当中就有一家遭遇过数据泄漏。许多公司称,这类事故严重威胁了公司邮件、网络和敏感信息的安全。
没有机构可以幸免——蓝筹公司、中小企业、学校和政府机关都有过类似遭遇。并且随着远程办公和移动计算的普及,防止数据泄漏也变得愈加复杂和困难。
数据泄露代价高昂。波尼蒙研究所(PonemonInstitute)近期的一项调查显示,机构每丢失一条信息,估计将蒙受平均200美元的损失;每遭受一次全面的数据泄漏,平均损失将高达680万美元。但这还仅仅只是金钱上的损失,如果把因数据泄漏而导致的公司竞争力消失、收益下滑、诉讼缠身、声誉受损等问题也考虑在内,那么实际代价将更加难以估量。
防止数据泄露的第一步就是承认数据泄漏的风险确实存在。认识到这点之后才能建立有效的防止数据泄漏的计划。
定义数据
第二步,定义机构的所有数据。这项工作看似艰巨繁杂,但为防止数据泄漏而做的数据定义并非那么困难。关键在于将机密信息(如社保号)和机密文档(如含有社保账号的文件)明确区分开来。
“机密”的定义通常十分简明。任何机构至少应该保护那些可用于数据货币化造假的简单数据点,比如姓名、地址、社保号、信用卡号、驾照号、银行资料以及受法律法规保护的数据等。
此外,任何机构都有自已的关键业务数据,这部分数据也必须加以保护。比如下个季度的销售管道、产品发布前的研究数据,或产品的源代码。
机构必须明确其“关键业务数据”是哪类数据,为此,应参照以下三个标准:
·这类数据一旦泄露,会否严重影响机构的收益和盈利能力?
·若发生这类泄露事件,机构领导层是否希望知晓?
·领导层知晓后会否采取行动?
用这三个问题对机构的数据进行评估,真正的关键业务数据将会一目了然。
数据定义工作完成之后,就要用定义衡量自身的业务,弄清真正的风险到底何在。举例来说,最关切的部分并不一定与最易泄露的部分重叠。在许多案例中,机构中最有可能发生数据泄漏的部分往往可以通过修改某一业务流程轻易避免。
确保移动数据安全
中小企业主在数据保护上的另一项挑战来自于移动办公的普及。如今,大多数员工会在公司提供的移动设备或自已的移动设备上完成部分工作。他们通过移动设备、公司提供的计算机、办公室的笔记本电脑获取数据,而这些设备很可能没有数据保护措施。
第三步,中小企业需要制定移动设备的安全使用政策,考虑现有的安全保护措施,以及完善移动设备的管理机制。越来越多的机构开始采用移动设备管理(MDM)工具:无线传输应用程序,统一各类移动设备的数据和配置,比如智能手机、平板电脑、移动打印机和移动销售终端设备。
员工培训
完成数据定义和移动设备管理之后,接下来是第四步:把数据保护政策传达给员工。政策要简明实用,明确哪些数据是机密的,机密数据应如何使用,以及员工应如何使用移动设备。
有了政策,还需要完成以下任务:
·解决违反政策并致使泄漏事件频发的流程问题
·向用户说明该政策
·向用户提供持续的、实时的数据保护提醒
主动防止数据泄漏
如果流程改变,更新政策和教育用户能解决大多数风险,而技术方面的加强能填补余下空缺。然而第五步才是重中之重:始终把数据安全列为首要任务。明智地、持续地把资金投入针对机构自身有可能面临的风险而量身开发的数据安全技术。
考虑安排一部分内部或外部资源来监控和管理安全事务,确保这部分资源向适当的利益攸关方汇报。这一策略能使机构实时掌握安全动态,让整个机构知晓并参与到数据保护当中。
数据泄漏始终会是令IT业者头疼的问题,但已有经验证的方法来保护你的机构。通过定义数据、管理移动设备、培训员工、采取主动措施防止数据泄漏,你将能有效抵御风险,使自已免受数据泄漏之苦。