數(shù)據(jù)安全一直都很重要。但由于目前的疫情危機(jī)，越來越多的人開始遠(yuǎn)程工作，云計算的使用量也隨之飆升，未經(jīng)授權(quán)訪問數(shù)據(jù)的機(jī)會比以往任何時候都要多。

黑客們正在利用這一點。例如，國際刑警組織(Interpol)和美國商會(U.S. Chamber of Commerce)都報告稱，自疫情開始以來，網(wǎng)絡(luò)攻擊的發(fā)生率大幅增加。

因此，無論組織做什么，如果它處理個人身份數(shù)據(jù)(PII)，提高數(shù)據(jù)安全性是2022年及以后的絕對必須。以下是關(guān)于組織數(shù)據(jù)安全的信息，包括最常見的威脅、法律遵從性要求和最佳實踐。

一 為什么數(shù)據(jù)安全很重要

數(shù)據(jù)安全至關(guān)重要，因為數(shù)據(jù)泄露可能會對組織產(chǎn)生嚴(yán)重影響。首先，這通常意味著財務(wù)上的損失，根據(jù)IBM和波耐蒙研究所的數(shù)據(jù)，2020年平均數(shù)據(jù)泄露的損失為386萬美元:

與數(shù)據(jù)泄露相關(guān)的最大一部分直接成本來自業(yè)務(wù)損失。然而，71%的首席營銷官認(rèn)為，違約的最大影響是它將影響品牌資產(chǎn)和品牌價值。

根據(jù)品牌評估機(jī)構(gòu)Interbrand的說法，一個品牌的價值很大一部分來自“這個品牌在購買決策中所扮演的角色”。換句話說，強大的品牌資產(chǎn)實際上可以提高客戶為你的產(chǎn)品或服務(wù)付費的意愿。

但這也意味著糟糕的品牌資產(chǎn)可能會產(chǎn)生相反的效果。研究表明，65%到80%的消費者會對泄露他們數(shù)據(jù)的公司失去信任，這對品牌資產(chǎn)是一個重大打擊，數(shù)據(jù)泄露的潛在影響可能會影響未來幾年的品牌。

信任缺失對品牌形象的實際影響很大程度上取決于違約的細(xì)節(jié)，以及它如何影響客戶等等。但無論如何，失去信任會對你的業(yè)務(wù)產(chǎn)生持續(xù)多年的影響。

二 數(shù)據(jù)安全、數(shù)據(jù)保護(hù)、數(shù)據(jù)隱私

數(shù)據(jù)安全常常與類似的術(shù)語如“數(shù)據(jù)保護(hù)”和“數(shù)據(jù)隱私”相混淆，因為它們都是指保護(hù)數(shù)據(jù)的方法。然而，這些術(shù)語之間的區(qū)別在于首先保護(hù)數(shù)據(jù)的原因，以及這樣做的方法:數(shù)據(jù)安全指的是保護(hù)數(shù)據(jù)免受未經(jīng)授權(quán)的訪問或使用，這些訪問或使用可能導(dǎo)致數(shù)據(jù)暴露、刪除或損壞。

數(shù)據(jù)安全的一個例子是，如果你的數(shù)據(jù)被攻破，可以使用加密來防止黑客使用。數(shù)據(jù)保護(hù)是指對數(shù)據(jù)進(jìn)行備份或復(fù)制，以防止意外刪除或丟失。

數(shù)據(jù)保護(hù)的一個例子是創(chuàng)建數(shù)據(jù)備份，這樣即使數(shù)據(jù)損壞或者自然災(zāi)害破壞了服務(wù)器，也不會永遠(yuǎn)丟失數(shù)據(jù)。數(shù)據(jù)隱私指的是關(guān)于如何處理數(shù)據(jù)的監(jiān)管問題、通知問題和使用許可問題等。數(shù)據(jù)隱私的一個例子是，通過使用Cookies獲得網(wǎng)站訪問者的數(shù)據(jù)收集同意。

三 數(shù)據(jù)安全合規(guī)和法規(guī)

大多數(shù)國家都有公司必須遵守的嚴(yán)格的數(shù)據(jù)安全規(guī)定。違反這些規(guī)定的后果可能導(dǎo)致巨額罰款。不幸的是，法規(guī)遵從性通常很難把握，因為需求會因國家而變化，或者在一些國家，如美國，需求會因地區(qū)而變化，并且與正在處理的數(shù)據(jù)類型有關(guān)。因此，你能做的最好的事情之一就是確保你身邊有知識淵博的顧問，他們可以幫助你了解法律要求。

然而，以下是一些可能影響您的組織的最重要和影響最廣泛的數(shù)據(jù)治理規(guī)則。

(1)《中華人民共和國數(shù)據(jù)安全法》

《數(shù)據(jù)安全法》2021年9月1日起正式施行，明確數(shù)據(jù)安全主管機(jī)構(gòu)的監(jiān)管職責(zé)，建立健全數(shù)據(jù)安全協(xié)同治理體系，提高數(shù)據(jù)安全保障能力，促進(jìn)數(shù)據(jù)出境安全和自由流動，促進(jìn)數(shù)據(jù)開發(fā)利用，保護(hù)個人、組織的合法權(quán)益，維護(hù)國家主權(quán)、安全和發(fā)展利益，讓數(shù)據(jù)安全有法可依、有章可循，為數(shù)字化經(jīng)濟(jì)的安全健康發(fā)展提供了有力支撐。

(2)《中華人民共和國個人信息保護(hù)法》

《中華人民共和國個人信息保護(hù)法》，自2021年11月1日起施行。作為我國首部針對個人信息保護(hù)的專門性立法，《個人信息保護(hù)法》構(gòu)建了完整的個人信息保護(hù)框架，對個人信息處理規(guī)則、個人信息跨境傳輸、個人信息處理活動的權(quán)利、信息處理者的義務(wù)、監(jiān)管部門職責(zé)以及罰則等作出了全面的規(guī)定。

(3)通用數(shù)據(jù)保護(hù)監(jiān)管(GDPR)

GDPR是歐盟的數(shù)據(jù)保護(hù)和隱私法。它于2016年通過并于2018年實施，以保護(hù)消費者，并統(tǒng)一有關(guān)國內(nèi)和國際企業(yè)數(shù)據(jù)管理的規(guī)定。

GDPR要求任何處理個人數(shù)據(jù)的組織實施“適當(dāng)?shù)募夹g(shù)和組織措施”來保護(hù)該數(shù)據(jù)(包括獲得個人存儲和使用該數(shù)據(jù)的同意)。這意味著在收集用戶數(shù)據(jù)時需要征得用戶的同意，在數(shù)據(jù)被破壞時將數(shù)據(jù)匿名化以保護(hù)用戶，并遵循在數(shù)據(jù)被破壞時通知用戶的具體指導(dǎo)原則。

(4)健康保險流通與責(zé)任法案(HIPAA)

HIPAA是美國關(guān)于電子保護(hù)健康信息(ePHI)的數(shù)據(jù)安全和保護(hù)法。該法案于1996年通過，旨在控制和現(xiàn)代化個人健康數(shù)據(jù)管理，包括欺詐和盜竊保護(hù)標(biāo)準(zhǔn)，保險公司如何利用它向個人收取服務(wù)費用，等等。

對于任何處理ePHI的公司，HIPAA都需要特定的技術(shù)、物理和管理保障。違規(guī)者可被處以10年監(jiān)禁，罰款從10萬美元到25萬美元不等。

(5)薩班斯-奧克斯利法案(SOX)

薩班斯-奧克斯利法案于2002年通過，旨在更好地保護(hù)公司投資者免受欺詐性金融活動的傷害。它是為了應(yīng)對一些著名的公司會計丑聞(例如安然公司)而設(shè)立的，旨在增加對不準(zhǔn)確或不完整的財務(wù)報告(包括篡改財務(wù)數(shù)據(jù)以某種方式呈現(xiàn))的懲罰。它還包括有關(guān)管理企業(yè)財務(wù)信息獲取的規(guī)定。SOX主要適用于上市公司及其披露財務(wù)信息的方式。但也有一些因素同樣適用于私營企業(yè)——例如，偽造財務(wù)記錄或報復(fù)舉報金融犯罪的員工。

(6)聯(lián)邦信息安全管理法(FISMA)

FISMA于2002年通過，以標(biāo)準(zhǔn)化美國聯(lián)邦機(jī)構(gòu)處理數(shù)據(jù)的方式。它要求任何聯(lián)邦機(jī)構(gòu)(以及任何作為分包商/服務(wù)提供商的私營企業(yè))遵守嚴(yán)格的信息安全政策(FIPS 200)和審計程序，以確保它們得到遵守。

四 數(shù)據(jù)安全的最大威脅

當(dāng)人們想到數(shù)據(jù)安全的威脅時，首先想到的往往是黑客入侵您的服務(wù)器。但現(xiàn)實是，數(shù)據(jù)安全的最大威脅往往來自內(nèi)部，是員工不安全行為的結(jié)果。

例如，IBM和波耐蒙研究所(The Ponemon Institute)在2020年研究了數(shù)據(jù)泄露的根本原因，發(fā)現(xiàn)最主要的兩個原因是泄露憑證，通常是由于弱密碼和云配置錯誤，讓公眾可以訪問敏感數(shù)據(jù);數(shù)據(jù)泄露的另一個主要原因(網(wǎng)絡(luò)釣魚詐騙)也是正確的員工培訓(xùn)可以防止的事情。IBM的研究表明，教員工如何發(fā)現(xiàn)網(wǎng)絡(luò)釣魚郵件和其他社會工程攻擊將有助于減少17%的數(shù)據(jù)泄露。

所有這些都說明，雖然像防火墻這樣的技術(shù)對于保護(hù)您的數(shù)據(jù)免受安全威脅很重要，但您的團(tuán)隊的警惕可能更重要。

五 數(shù)據(jù)安全技術(shù)的類型

有幾種不同的技術(shù)可以用來保護(hù)數(shù)據(jù)。盡可能多地使用這些技術(shù)，以確保所有潛在的訪問點都是安全的。

(1)身份驗證

身份驗證是驗證用戶的登錄憑證(密碼、生物特征識別等)以確保它確實是他們的過程。它是數(shù)據(jù)安全策略中最重要的部分之一，因為它是防止未經(jīng)授權(quán)訪問敏感信息的第一線防御。

身份驗證在概念上很簡單，但從技術(shù)的角度來看，很難得到正確的規(guī)模。然而，像單點登錄(SSO)、多因素身份驗證(MFA)和破解密碼檢測等新技術(shù)使得在不犧牲用戶體驗的情況下更容易確保身份驗證過程的安全性。

(2)加密

數(shù)據(jù)加密用一種算法來打亂敏感信息，因此如果沒有解密所需的特定信息(加密密鑰)，就無法讀取這些信息。這是一個非常重要的數(shù)據(jù)安全工具，因為它可以確保即使有人未經(jīng)授權(quán)訪問你的信息，他們也無法使用它。您應(yīng)該始終確保您的加密密鑰被安全存儲，并將訪問它們的權(quán)限限制在盡可能少的人。

(3)令牌化

令牌化類似于加密。然而，令牌化不是用算法打亂數(shù)據(jù)，而是用隨機(jī)字符替換數(shù)據(jù)。然后，與原始數(shù)據(jù)(“令牌”)的關(guān)系存儲在一個單獨的受保護(hù)的數(shù)據(jù)庫表中。

(4)數(shù)據(jù)屏蔽

數(shù)據(jù)掩蔽不會將數(shù)據(jù)轉(zhuǎn)換為中間形式，而是通過使用代理字符“掩蔽”數(shù)據(jù)字符來實現(xiàn)。一旦它被送到目的地，軟件就會把它倒轉(zhuǎn)過來。

(5)物理訪問控制

數(shù)據(jù)訪問控制也是數(shù)據(jù)安全策略的重要組成部分。數(shù)字訪問控制通常是通過身份驗證程序(并限制訪問數(shù)據(jù)的授權(quán)用戶的數(shù)量)進(jìn)行管理的，而物理訪問控制則管理對數(shù)據(jù)所在物理位置(數(shù)據(jù)中心或內(nèi)部服務(wù)器室)的訪問。

物理訪問管理控制包括保護(hù)措施，如鑰匙卡，生物認(rèn)證措施，如指紋識別和視網(wǎng)膜掃描，以及安全人員。

六 確保數(shù)據(jù)安全的最佳實踐

全面的數(shù)據(jù)安全計劃有很多活動組成，所有的工作都是實時的，以確保數(shù)據(jù)是安全的。您的計劃的具體實現(xiàn)將取決于組織的計算系統(tǒng)的大小和結(jié)構(gòu)。

因此，這里的內(nèi)容并不意味著要一步一步地分解創(chuàng)建完美的數(shù)據(jù)安全所需的一切;本文概述了一些重要概念，這些概念共同為數(shù)據(jù)安全奠定了良好的基礎(chǔ)。

(1)存儲數(shù)據(jù)的安全

數(shù)據(jù)安全的一個基本部分是保護(hù)存儲的數(shù)據(jù)。這里有三個最佳實踐，可以提高你的數(shù)字和物理存儲位置周圍的安全性:

• 管理對敏感信息的訪問。根據(jù)用戶ID來管理誰可以訪問您的數(shù)據(jù)，這是一種將敏感信息限制為僅供需要查看的人使用的好方法。這就限制了如果某人的用戶名或登錄信息被盜所造成的損失。
• 加密所有的數(shù)據(jù)。加密是保證數(shù)據(jù)安全的最佳工具之一。它可以幫助確保黑客不能使用他們可能掌握的任何信息。還應(yīng)該確保對傳輸進(jìn)行加密，以便為您發(fā)送的任何信息增加另一層安全。
• 從源頭保護(hù)用戶數(shù)據(jù)。當(dāng)客戶和員工首次登錄(或多次登錄)時，可以使用統(tǒng)一登錄等安全的身份驗證實踐來驗證和保護(hù)他們的信息。這不僅簡化了流程，減少了流失的風(fēng)險，而且還有助于將所有敏感數(shù)據(jù)組織在一個位置，而不是在容易丟失的多個數(shù)據(jù)庫和電子表格中。

(2)為安全威脅做好準(zhǔn)備

網(wǎng)絡(luò)安全威脅是不斷發(fā)展和變化的，因為黑客總是在安全系統(tǒng)中尋找漏洞。因此，數(shù)據(jù)安全不是一個“設(shè)置它，然后忘記它”的活動，而是一個日?；顒印?/p>

以下是為潛在的攻擊以及發(fā)生的任何攻擊的后果做好準(zhǔn)備的主要方法:

• 加強系統(tǒng)測試。最好的防御就是好的進(jìn)攻，而在安全數(shù)據(jù)恢復(fù)中最好的進(jìn)攻就是確保你的數(shù)據(jù)從一開始就不會丟失。但是，盡管自動化可以幫助監(jiān)控系統(tǒng)，但它根本無法與試圖闖入系統(tǒng)的人類的創(chuàng)造力相提并論。所以，最好是建立一個內(nèi)部團(tuán)隊來對你的系統(tǒng)進(jìn)行壓力測試，或者找公司以外的人來做。
• 培育安全意識。常見的數(shù)據(jù)安全攻擊，如魚叉式網(wǎng)絡(luò)釣魚電子郵件和USB陷阱，目標(biāo)是那些沒有意識到風(fēng)險并放松了警惕的員工。每天傳播來自Proofpoint的提示或?qū)嵤㊣nspired eLearning的高管培訓(xùn)可以大大降低這些風(fēng)險。
• 制定事故管理計劃。為數(shù)據(jù)泄露的情況制定全面的響應(yīng)計劃可以極大地限制數(shù)據(jù)泄露對組織的影響。IT需要知道要做什么，但也應(yīng)該為管理創(chuàng)建指導(dǎo)方針，讓員工知道，以及恢復(fù)的下一步步驟。
• 創(chuàng)建安全數(shù)據(jù)恢復(fù)計劃。如果出現(xiàn)了問題，或者你需要的東西被刪除或泄露了，準(zhǔn)備好處理這些問題是很重要的。對于許多團(tuán)隊來說，這意味著有一個定期更新的關(guān)鍵數(shù)據(jù)的備份副本。備份本身必須受到保護(hù)，而且應(yīng)該與其他數(shù)據(jù)分開。

(3)刪除不在使用的數(shù)據(jù)

總有一天你的數(shù)據(jù)會過時或不再使用。當(dāng)這種情況發(fā)生時，清除這些數(shù)據(jù)是很重要的，因為如果這些數(shù)據(jù)被攻破，它仍然可能傷害到您的用戶。

以你的用戶的舊密碼為例，由于65%的人在多個網(wǎng)站上重復(fù)使用他們的密碼，如果他們沒有更改所有數(shù)字賬戶的舊密碼，那么在另一家公司，舊密碼仍然可能被用來泄露他們的數(shù)據(jù)。

以下是刪除未使用數(shù)據(jù)的兩個最佳實踐:

• 知道如何以及何時刪除。當(dāng)你需要擺脫數(shù)字信息的時候，你需要正確地處理它。當(dāng)你不得不把敏感信息寫在紙上時，你會把它撕碎。你把你的信用卡剪開，在支票上寫上“無效”，然后把它們?nèi)拥?。?shù)字?jǐn)?shù)據(jù)也不例外。確保當(dāng)你抹掉這些信息時，它們真的已經(jīng)消失了，而不是在某個地方徘徊，而不會回來咬你一口。
• 不要忘記物理副本。如果你的任何備份是紙質(zhì)的，存儲在u盤里的，是x光片、縮微膠片或底片或者其他任何與你的數(shù)字系統(tǒng)完全分開的物理的東西，不要忘記它們。當(dāng)您刪除不在使用的信息時，請確保流程的一部分是雙重檢查，以查看該信息是否有物理對應(yīng)，如果有，則以實物方式銷毀它。

(4)進(jìn)行合規(guī)審計

有一些標(biāo)準(zhǔn)可以幫助降低數(shù)據(jù)泄露的風(fēng)險。你可能還需要遵守一些法律規(guī)定，以幫助你做同樣的事情。

適用于你的企業(yè)的規(guī)章制度在很大程度上取決于行業(yè)和地點，所以你需要做足功課來評估哪些是規(guī)章制度。但是，如果您正在處理個人身份信息，那么您最好對自己進(jìn)行審計，并確保您的業(yè)務(wù)符合要求。這不僅能讓你避免法律上的麻煩，還能顯著提高數(shù)據(jù)的安全性。

(5)不要忘記移動數(shù)據(jù)安全

根據(jù)McAfee的《2020年第一季度移動威脅報告》，僅在2018年上半年，移動攻擊就達(dá)到了1.5億次，2019年又增加了30%。隨著移動網(wǎng)絡(luò)攻擊的增加，移動安全成為數(shù)據(jù)安全策略中更為關(guān)鍵的一部分。

你可以采取以下幾個步驟來提高移動數(shù)據(jù)的安全性:

• 定期更新所有應(yīng)用程序，以防止間諜軟件的威脅。
• 刪除不活動的應(yīng)用程序。提供商可能因為安全漏洞而暫?；騽h除對它們的訪問。
• 在下載新應(yīng)用程序之前，請檢查所請求的權(quán)限列表。如果這些內(nèi)容看起來太有侵略性，員工應(yīng)該跳過下載，因為它可能包含移動惡意軟件。
• 為每個新的手機(jī)賬戶創(chuàng)建獨特的密碼。永遠(yuǎn)不要默認(rèn)為標(biāo)準(zhǔn)登錄。
• 使用加密數(shù)據(jù)傳輸?shù)耐ㄐ艖?yīng)用程序來限制訪問。
• 需要多因素身份驗證來訪問內(nèi)部工具。
• 確保員工知道如何遠(yuǎn)程訪問他們的設(shè)備。如果設(shè)備丟失或被盜，能夠快速刪除或傳輸信息是至關(guān)重要的。

然而，請記住，移動數(shù)據(jù)安全不僅僅適用于智能手機(jī)和平板電腦?，F(xiàn)在，它還包括其他移動設(shè)備，如智能手表和可穿戴技術(shù)、視頻會議工具等。

七 數(shù)據(jù)安全取決于人

企業(yè)的員工現(xiàn)在比以往任何時候都是數(shù)據(jù)安全的前線。因此，鼓勵正確的行為是至關(guān)重要的，以確保不會發(fā)生違反業(yè)務(wù)要求。

最好的方法之一就是為團(tuán)隊創(chuàng)造更好的用戶體驗。簡化的用戶體驗讓他們更容易遵循網(wǎng)絡(luò)安全的最佳實踐，比如為每個應(yīng)用程序使用唯一的密碼，或使用更長、更復(fù)雜的密碼。