公司企業必須進化自身安全實踐,方可跟上不斷變化的技術和相關安全威脅的發展。如果停滞不前,資料洩露的損失有可能是毀滅性的。
波耐蒙研究所《2016資料洩露損失研究》報告指出,每起資料洩露的總損失是400萬美元,每一條包含有敏感或個人身份識别資訊(pii)的被盜記錄帶來的損失是158美元。想象一下,數百萬條記錄失竊時,是多麼令人崩潰。
這些損失便是公司企業必須選擇最佳安全實踐的原因,通常,這種實踐指的是雲的利用。下列十條安全建議,可供公司企業使用基于雲的技術時優先考慮。
1. 為敏感檔案列個清單
連自己有些什麼都不知道,何談找出缺失了哪些東西?保證檔案的安全,意味着要做好标記:哪些資訊存儲在哪兒,存儲方式是什麼,通路方式有哪些等等。
2. 最小化非必要資料存儲
存儲非必要資訊的唯一用處,就是給網絡小偷更多的東西可偷。隻需要存儲僅夠公司正常營運所需的資料即可。老客戶的賬單資訊和前雇員的社會安全号與你的現有業務營運無關,隻會成為網絡小偷的潛在目标。把檔案篩一遍,清除掉系統中的過時或非營運關鍵資訊。
3. 確定主機托管有實體防護
資訊是數字存儲的并不意味着就沒必要使用實體防護。伺服器應被保管在上鎖的安全的地點。如果檔案存儲在遠端資料中心,該中心應具備《鑒證業務準則公告第16号》(ssae 16)ii類認證和全天候的實體安全。所有資料應在其他地方的額外伺服器上有備份。
4. 使用進階加密協定
為最大化資料的安全性,采取所有必要的電子安全預防措施是十分緊迫的。這包括在傳輸時和平時都利用防火牆和ssl/tls協定對檔案進行進階加密。
5. 用多因子身份驗證保證密碼安全
一大批資料洩露都是密碼使用疏忽的結果。密碼應是定制的,且包含有寬泛的配置選擇。建議采用多因子身份驗證結合多次嘗試不成功便鎖定賬戶的方式。
6. 配置行為跟蹤以記錄通路曆史日志
團隊成員、同僚、客戶、承包商,大量人員有可能對特定檔案具有通路權。如果每個通路者都賦予編輯權限,那麼非正确修改的風險是避免不了的了。其他風險還包括惡意清除、蓄意破壞和共享機密資訊。
行為跟蹤功能可留下每個使用者通路檔案的相關資訊,比如使用者身份、通路時間、所做修改等。此類檔案行為的總結可通過電子郵件或短信即時通報給管理者。
7. 保證最小外部通路授權
雲的最佳益處之一(任何時候、任何地方都可進行通路),同時也是其最大風險之一。考慮一下被賦予通路檔案權限的所有人,其中就可能有你連見都沒見過卻手握你最敏感資料通路權的人。
無論何時對檔案賦予外部通路權,管理者都應該根據賦權角色對權限和控制進行定制。也就是說,每個人都應基于該項目的位置和責任被賦予打開、浏覽或編輯資訊的權限。就像網站設計顧問無權通路财務資訊一樣,某個客戶也不應該看到你正在為别的客戶做所的工作。
8. 限制公共wifi的無線應用
智能手機、平闆和筆記本電腦讓在外辦公變得容易,同時也為安全疏忽開啟了友善之門。這些個人裝置經常被用于個人事務,意味着可能會帶來交叉影響,比如從一個裝置向其他裝置感染病毒或惡意軟體。
另外,如果無線裝置被盜或遺失,公司資訊就有可能落入他人之手,通信也有可能通過公共wifi網絡被竊聽。
使用虛拟資料室可以抵消公私混用裝置相關的大多數威脅。
9. 教育訓練并認證員工
未經合适的使用者教育訓練就授予雲通路權這種事絕對不能發生。應該花時間對新員工進行雲安全最佳實踐教育訓練,甚至可以考慮為所有員工安排安全教育日。
10. 使用《健康保險流通與責任法案》(hipaa)作為指南
即使沒有身處醫療保健行業,遵循hipaa設定的隐私指南也不失為保護資訊安全和機密的有效方法。使用hipaa友好的項目管理軟體能幫助確定你的資料收到一流安全協定的保護。
有很多方法可供公司用以讓員工具備保護機密資料和最小化安全風險的能力。随着網絡攻擊每年帶來4~5千億美元的損失,忽視安全的後果是令人無法承擔的。
遵循以上建議,你的企業會盡可能地在保證安全的情況下盈利。
作者:nana
來源:51cto