DoSECU安全分析 2月26日消息:客户的信任和依赖对于一家企业的业务发展和长期在市场生存是至关重要的。当然,企业有责任确保客户的重要信息的安全。通过对风险制定战略性的规划,企业可以更好地管理和规划未来的身份和数据盗窃风险。Knowledge Center的Sidney L. Pearl为企业保护客户的敏感数据和身份提供了一些可取的办法。
在今天全球经济放缓的情况下,客户对企业能力的担心不仅表现为是否可以保护他们的行动,他们也开始担忧每天进出系统的敏感客户信息的安全。一直以来,客户对滥用个人信息表现了极大地关注。这反映出企业正面临的一个严峻的现实:数据和身份窃取不再被仅仅视为业务上的风险。如果企业不能及时采取有效的做法来处理薄弱环节带来的风险,他们面临的危险将是失去企业走向成功的一个重要组成部分:客户的信任。
今天,管理层在决定怎么管理那些看不到的风险方面正面临着严重的挑战。数据安全受到威胁从四面八方突然来袭。首先,蓄谋已久的盗窃行为造成的威胁是最多的,任何对企业不满的员工都能够轻松获得敏感的客户资料。同时,复杂的黑客组织研究的先进的网络钓鱼工具让用户掉进他们精心编制的陷阱中,不知不觉的情况下,就把身份共享给了黑客。其次是,由IT和数据安全控制系统的薄弱引起的无意中的数据破坏行为,无论是企业内部还是与之共享重要数据的业务合作伙伴,都有可能面临这种问题。
目前,对于这个日益严重的问题尚没有一个良好的解决办法。但是,通过风险评估分析制定策略性的计划,可以帮助识别盗窃行为,并减少危及企业的风险。
策略性风险框架能够为企业制定全面、多层次保护数据和用户身份的办法。关键的步骤是:
策略1:得到执行者的赞助和支持
制定一个企业主管可以理解和支持的数据丢失保护计划。通过实施强有力的针对业务的反欺诈策略,如使用不同的办法对可疑行为进行检测,从而让企业可以有效地管控敏感数据,并进一步降低数据破坏的支出,同时还可以做到对企业数据如何被利用具有更高的可视性。此战略应该包括高级管理人员和总顾问,并被纳入企业的安全文化中。领导者应当促使策略得到企业上下的一致通过,并能在内部得到实施。
策略2:风险评估
定期进行风险评估,以便能及时查找出漏洞,并对预知风险的破坏程度。风险评估对企业内部可能发生的数据破坏进行衡量,同时,确定业务和文件中可能涉及的地方有助于帮助预估计划的实施能否获得最后的成功。
策略3:确定战略目标的风险
制定对整体解决方案有效的计划,将监督数据安全作为企业内的一项长期的事情来做。处理这些风险的人需要具备广泛的社交能力并能对企业业务有全局观察的能力,以便能够作出正确的决策。需要使用一个既对所有用户适用又符合管理要求的灵活平台,同时,还应该能够对破坏行为作出迅速的反应。
策略4:自动化预测风险分析
让风险分析和预测尽量做到自动化,以便更快更准确地遏制网络欺诈行为。
策略5:了解您的业务合作伙伴
你可能也会有这样的发现,在工作单位外和超出IT控制范围共享信息的需求随着时间的推移越来越多了起来,在这样的情况下,你需要确保业务合作伙伴也像你们那样把数据安全看得至关重要,并且确保他们和你们具有同等级别的数据保护水平。管理者一定要确保战略伙伴和厂商们在处理欺诈和信息泄露问题以及规章遵守上享有同样的优先权。