一家企業(yè)的人力資源團(tuán)隊收到了一封來自外部顧問的電子郵件，通知他們關(guān)于銀行詳細(xì)信息的更新。該團(tuán)隊立即注意到其顧問機構(gòu)的電子郵件地址與原來的郵箱地址之間的細(xì)微差別。因此，他們決定采用其他的溝通渠道通過即時消息與顧問取得聯(lián)系。

而這位顧問根本不知道神秘郵件的發(fā)件人是誰。但是網(wǎng)絡(luò)犯罪分子知道他的名字，知道他為哪家公司工作，人們能夠想象如果網(wǎng)絡(luò)詐騙者成功了會發(fā)生什么?企業(yè)可能浪費大量時間和費用，與客戶的關(guān)系甚至可能受到損害。而作為需要要處理大量信息的項目管理經(jīng)理，現(xiàn)在確保信息的安全比以往任何時候都更加重要。

項目管理主管必須實施的數(shù)據(jù)安全措施

(1)保持正確的密碼衛(wèi)生

密碼泄露是網(wǎng)絡(luò)犯罪分子竊取信息最容易的方法之一。這使得企業(yè)和其團(tuán)隊在創(chuàng)建、存儲和共享密碼和訪問權(quán)限時養(yǎng)成良好的習(xí)慣變得至關(guān)重要。密碼衛(wèi)生始于安全的密碼創(chuàng)建。制定適當(dāng)?shù)恼?，確保團(tuán)隊中的每個人都知道如何創(chuàng)建強密碼。盡可能減少使用共享密碼。

為了補充這一點，可以考慮使用密碼管理器。這有助于確保雖然設(shè)置的密碼很強大，但不會忘記密碼無法登錄。最后，采用雙因素身份驗證。該設(shè)置需要用戶在登錄到帳戶之前執(zhí)行額外的步驟。其驗證是通過單獨的一個電子郵件地址或移動電話完成的。

(2)遵守資料私隱規(guī)定

遵循數(shù)據(jù)保護(hù)指令的關(guān)鍵法規(guī)和條款，如GDPR和CCPA，可能看起來很乏味，但如果正在處理個人和機密信息，不要疏忽和是自滿。如果與歐洲企業(yè)進(jìn)行交易，必須遵守歐盟通用數(shù)據(jù)保護(hù)條例(GDPR)，無論其規(guī)模、行業(yè)或業(yè)務(wù)地點如何。

對違規(guī)行為的處罰最高可達(dá)企業(yè)年收入的4%或2,000萬歐元。如果是一家年收入至少2500萬美元、服務(wù)于加州居民的公司，那么你必須遵守《加州消費者隱私法》(CCPA)。與GDPR法規(guī)一樣，《加州消費者隱私法》(CCPA也要求對其擁有的數(shù)據(jù)及其處理方式保持透明度。如果違規(guī)，個人可以提起集體訴訟。每次違規(guī)，企業(yè)支付的罰款從2500美元到7500美元不等，消費者每次違規(guī)可獲得100美元到750美元的賠償。

(3)管理和備份數(shù)據(jù)

數(shù)據(jù)管理可能很繁瑣。如果要處理大量信息，可能值得考慮使用數(shù)據(jù)托管提供商。數(shù)據(jù)托管提供商幫助企業(yè)保持?jǐn)?shù)據(jù)的組織性和可用性，最重要的是確保數(shù)據(jù)的安全性。他們提供全天候支持的層層保護(hù)。它們還遵守嚴(yán)格的標(biāo)準(zhǔn)，因此企業(yè)可以確保沒有違反以上提到的任何規(guī)則。

由于數(shù)據(jù)是眾多項目和業(yè)務(wù)的關(guān)鍵，因此為自然災(zāi)害、設(shè)備故障或網(wǎng)絡(luò)攻擊做好應(yīng)急準(zhǔn)備也應(yīng)該是企業(yè)考慮的一部分。要做到這一點，很好的一個方法是確保具有安全的備份，但在緊急情況下可以很容易地獲取。在這里可以派上用場的一個服務(wù)是災(zāi)難恢復(fù)即服務(wù)(DRaaS)。DRaaS解決方案允許企業(yè)創(chuàng)建其IT基礎(chǔ)設(shè)施的備份，而無需投資更多的基礎(chǔ)設(shè)施和管理。

(4)保護(hù)企業(yè)的設(shè)備

雖然這主要是您的IT團(tuán)隊的責(zé)任，但當(dāng)涉及到公司設(shè)備時，您還是應(yīng)該盡自己的一份力量保持警惕。隨著數(shù)據(jù)泄露技術(shù)變得越來越復(fù)雜，科技公司通過軟件補丁不斷改進(jìn)產(chǎn)品和服務(wù)，盡其所能應(yīng)對這一問題。

確保您的設(shè)備使用最新的軟件、操作系統(tǒng)和殺毒技術(shù)，可以幫助您最大化地保護(hù)它們。打開系統(tǒng)更新通知，幫助您密切關(guān)注系統(tǒng)的最新發(fā)展。如果您的IT團(tuán)隊錯過了它，請跟蹤并盡可能地保護(hù)團(tuán)隊的設(shè)備。

(5)教育團(tuán)隊、客戶和顧客

企業(yè)的項目數(shù)據(jù)可能被團(tuán)隊的任何成員或客戶破壞。也就是說，確保每一個同事都了解網(wǎng)絡(luò)安全的重要性是至關(guān)重要的。提高對最常見的網(wǎng)絡(luò)犯罪的認(rèn)識，例如惡意軟件、勒索軟件、信息網(wǎng)絡(luò)釣魚、詐騙等。查看新聞，對黑客試圖竊取數(shù)據(jù)的新方法保持警惕。提醒組織中的每個人仔細(xì)檢查他們使用的網(wǎng)絡(luò)地址、與他們交互的電子郵件地址、他們收到的鏈接和他們處理的請求。

無論誰對數(shù)據(jù)泄露負(fù)責(zé)，都要對其后果負(fù)責(zé)。因此，確保每個人在保護(hù)敏感信息方面都付出同樣的努力是至關(guān)重要的。

如何保護(hù)項目和數(shù)據(jù)安全

數(shù)據(jù)泄露是危險的。不管項目有多成功，如果企業(yè)失去了客戶和利益相關(guān)者的信任，這一切都可能付諸東流。處理信息時要保持警惕。

數(shù)據(jù)安全保護(hù)的基礎(chǔ)是對數(shù)據(jù)承載環(huán)境的安全保護(hù)。因此運營者應(yīng)依據(jù)網(wǎng)絡(luò)安全等級保護(hù)政策和標(biāo)準(zhǔn)要求開展安全建設(shè)工作，保證等級保護(hù)對象滿足相應(yīng)等級的安全要求。關(guān)鍵信息基礎(chǔ)設(shè)施運營者還應(yīng)在等級保護(hù)工作基礎(chǔ)上開展關(guān)鍵信息基礎(chǔ)設(shè)施安全保護(hù)工作。

根據(jù)規(guī)要求，重要數(shù)據(jù)的處理者應(yīng)當(dāng)明確數(shù)據(jù)安全負(fù)責(zé)人和管理機構(gòu)，落實數(shù)據(jù)安全保護(hù)責(zé)任，建立健全全流程數(shù)據(jù)安全管理制度，企業(yè)開展數(shù)據(jù)安全教育培訓(xùn)。運營者應(yīng)根據(jù)法律法規(guī)要求及組織內(nèi)部實際情況，充分落實安全管理要求，保證數(shù)據(jù)安全通過正確、規(guī)范、邏輯閉環(huán)的數(shù)據(jù)安全管理體系進(jìn)行要求和執(zhí)行。

企業(yè)可以根據(jù)需求選擇適合公司的數(shù)據(jù)安全工具，例如防火墻、數(shù)據(jù)庫審計、文檔加密、殺毒軟件等等。企業(yè)運用各種技術(shù)手段監(jiān)控和記錄運維人員對網(wǎng)絡(luò)內(nèi)的服務(wù)器、網(wǎng)絡(luò)設(shè)備、安全設(shè)備、數(shù)據(jù)庫等設(shè)備的操作行為，以便集中報警、及時處理及審計定責(zé)。