对于这个互联世界中的每个企业来说, 比较大的挑战也许就是数据保护. 我们已经看到破坏性的直接财务损失数据泄露给碰巧要处理的每个业务实体带来; 孟加拉银行 Yahoo! 邮件, 以及 Facebook 的数据泄露, 只是过去几年中我们可以举出的数据泄露中的一小部分.
因此, 许多国家 / 地区都在优化其影响每个实体的数据安全法律, 甚至是将业务流程外包给会计公司, 律师事务所和 PE 的实体.
实际上, 欧盟是率先为其公民实施更高数据安全措施的国家之一, 被称为 GDPR, 通用数据保护法规.
尽管在信息安全中应用了许多对策, 但众所周知, 许多主要的安全威胁来自组织内部的人员, 主要是通过 Machiavellian 网络黑客采用的精心社交工程来完成的.
eBay 于 2014 年 5 月非常认真地吸取了这一教训, 当时黑客使用其公司员工的凭据进入了公司网络, 在经过彻底调查后, 该公司内部访问已超过半年! 当然, 这损害了他们的用户数据, 他们全部 1.45 亿 (可能更多).
这就是为什么组织中的每个人都必须了解优秀的工作场所实践以强有力地实施它们的重要性. 本文将引导您了解工作场所数据安全性实践的基础, 以开始使用.
保密和保密协议
对于要实现的每个协议或政策, 都必须简化为书面形式. 此外, 必须确保所有有权访问敏感信息的专业人员或管理员都必须签署所有机密性协议. 这意味着所有员工, 合作伙伴和供应商在开始项目之前必须签署保密和保密协议.
唯一的 ID 和登录系统
公司必须具有受密码保护的系统, 以防止对机密信息的未经授权的访问, 这是一个标准. 此外, 期望每个员工都有自己的唯一 ID 和密码以用于登录.
与此相关, 必须根据员工的角色和职能, 应用访问管理协议来限制对机密和个人信息的访问; 仅在他们成功履行职责所需的范围内给予他们访问权限.
做好基础网络安全防护
做好基础安全防护, 例如企业网站部署 SSL 安全证书, 企业邮件部署邮件证书等等, 做好最基础的安全防护工作, 避免因小失大.
HTTP 基数很大, 漏洞百出, 在流量劫持者眼中, 是很好的下手目标. 利用明文传输自身的缺陷, 网络黑客们不费吹灰之力, 就可以对信息内容进行窃听, 篡改和劫持. 企业网站部署基本的 SSL 证书是为了保护数据在网络中传输过程不受到黑客的窃取甚至篡改.
邮件证书对电子邮件进行数字签名并加密传输, 一方面可以保证邮件发送者身份真实性, 另一方面保障了邮件传输过程中不被他人阅读及篡改, 并由邮件接收者进行验证, 确保电子邮件内容的完整性.
数据安全性, 隐私和机密性培训
除了建立全面的信息和安全程序外, 提供定期的网络安全培训和意识更新还可以帮助您的团队填补纸上文字与现实生活中数据泄露的发生方式之间的空白.
多年来, 数据泄露的很大一部分是由恶意软件和网络钓鱼软件通过单击链接或打开通过无害电子邮件发送的附件进入网络而造成的. 如果仅对员工进行数据安全培训, 则可以很容易地防止这些数据泄露.
此外, 未经培训的员工通常是网络犯罪分子为获取公司网络访问权而进行的猎物.
领导团队和所有高管也应接受深入的正式数据安全培训. 这将确保组织中的每个人, 包括管理层, 都了解数据安全性的价值.
结论
尽管信任您的员工能够诚信地完成工作是社会契约的一部分, 但是对于公司而言, 仍然必须自觉地保护组织中任何有权访问客户 / 客户数据的人. 应用这些工作场所实践将有助于您的公司防止数据泄露并保护机密信息.
来源: http://netsecurity.51cto.com/art/201910/604454.htm