1、每个企业都有敏感数据。敏感数据是指你不希望未授权的人看到的数据,不论企业大小,每个企业都有这类数据。包括员工工资,银行账户,客户信用卡账户,交易机密和体检记录等。
2、数据丢失时有发生。IT行业几十年来都致力于让用户更快速更便捷地共享数据。我们现在希望复杂的信息可以迅速传播到全球,使其随时供用户使用。然而,其负面影响便是导致数据容易丢失。比如,大多数人都有过把电子邮件发错邮箱的经历。而且,你只需几秒就可以将文件上传到USB或CD上,而这样存储设备也很容易丢失。另外,现在非常流行的移动设备,如笔记本,平板电脑和智能手机也是如此。所有数据丢失中有75%都是意外,因此这显然是一个安全焦点区域。
3、不法分子正觊觎你的数据。为了名气写病毒的做法已经过时。现在很多恶意软件旨在偷取未检测数据。有些数据,如信用卡账户,显然对不法分子有价值。但是,这些人的目标范围也越来越广,他们试图从邮件地址及公司智力资产等途径获利。当然,黑客不是仅有的数据偷窃者。企业还有小心员工盗取数据及USB存储设备以及其他保存了敏感信息的硬件。
4、敏感数据丢失会带来严重损失。许多国家和行业都有针对数据丢失的金融处罚。即便你不想被罚款,但是后果仍会很严重。这包括消除数据泄露的成本,如通知受影响单位并使其免受损失。更糟糕的是,泄露的R&D秘密可能落入竞争对手的手里,这会对企业造成长期影响。对名誉的损坏也是另一大威胁,因为消费者也开始意识到了数据丢失的破坏性。
员工方面也不好交代,想象一下,如果工资表泄露,或者并购计划泄露,会出现什么情况?这会打击员工的信任感与认同感,而员工的流失对企业也有影响。
要计算出企业数据泄露可能带来的经济损失,首先要考虑的是你手中有多少敏感信息。然后再思考如果这些落入不法之徒手中你会损失多少。例如,如果你客户的数据库是主要资产,那么如果有员工将数据偷给竞争对手,你会损失多少?还要考虑善后的成本,如告知客户你弄丢了保存有他们信用卡账户的CD,另外还有由此带来的信任缺失。
5、数据加密不是一劳永逸的方案。如果你的数据加密过,那未授权用户就无法读取。但是每个企业的加密需求不同。正确的做法是按照多个要素,包括数据类型,数据操作方式(如,是通过邮件发送还是通过第三方共享),所在行业以及你可以控制的资源。在制度完善的行业中需要更严格的可进行综合汇报的方案。而其他行业可能只需确保丢失的笔记本不会轻易显示数据。
数据状态分三种:
a) 闲置:如保存在电脑或服务器上的数据;
b) 使用中;
c) 传输中:如通过邮件传输或通过U盘传送的数据。
当你思考如何保护敏感数据时,需要想一想这三种状态的数据分别是哪些。如果你在笔记本和U盘上保存了大量数据,那么有必要对设备加密。如果需要发送携带敏感信息的附件,那么有必要对邮件加密。
6、其实既不费事也不费时。企业可选的加密方案很多。从直接加密(自动整合到端点安全)到政府级别的方案不等。
7、加密只是方案的一部分。加密是保护数据的核心部分,但是对用户的教育也很重要。数据只在人们使用的时候才具有存在的意义,如果人们不访问这些数据,它们就没什么价值。虽然利用技术手段可以显著减少数据丢失的风险,但是却不能消除风险。因此除了部署正确的方案外,还要为用户普及安全知识。其他可用于数据安全的技术还包括设备控件,应用控件和反恶意软件产品等。
8、数据安全——下一步是什么?我们处于信息知识经济社会。4G和下一代智能手机连接的下载速度会达到100Mbps。这意味着整个数据库可以在几秒内下载完。智能手机和平板电脑可能逐步取代传统PC。在最近Sophos的一项调查中发现,70%的商业用户都拥有智能手机作为商用或供个人使用。这种趋势会增加数据移动性也会将家庭与工作场所的界线变得更模糊。
