隨著網絡攻擊日趨復雜、日益頻發，各行各業的公司和機構對數據泄漏問題越發擔憂。事實上，CDW的研究顯示，在過去的兩年里，每四家機構當中就有一家遭遇過數據泄漏。許多公司稱，這類事故嚴重威脅了公司郵件、網絡和敏感信息的安全。

沒有機構可以幸免——藍籌公司、中小企業、學校和政府機關都有過類似遭遇。并且隨著遠程辦公和移動計算的普及，防止數據泄漏也變得愈加復雜和困難。

數據泄露代價高昂。波尼蒙研究所(PonemonInstitute)近期的一項調查顯示，機構每丟失一條信息，估計將蒙受平均200美元的損失；每遭受一次全面的數據泄漏，平均損失將高達680萬美元。但這還僅僅只是金錢上的損失，如果把因數據泄漏而導致的公司競爭力消失、收益下滑、訴訟纏身、聲譽受損等問題也考慮在內，那么實際代價將更加難以估量。

防止數據泄露的第一步就是承認數據泄漏的風險確實存在。認識到這點之后才能建立有效的防止數據泄漏的計劃。

定義數據

第二步，定義機構的所有數據。這項工作看似艱巨繁雜，但為防止數據泄漏而做的數據定義并非那么困難。關鍵在于將機密信息（如社保號）和機密文檔（如含有社保賬號的文件）明確區分開來。

“機密”的定義通常十分簡明。任何機構至少應該保護那些可用于數據貨幣化造假的簡單數據點，比如姓名、地址、社保號、信用卡號、駕照號、銀行資料以及受法律法規保護的數據等。

此外，任何機構都有自已的關鍵業務數據，這部分數據也必須加以保護。比如下個季度的銷售管道、產品發布前的研究數據，或產品的源代碼。

機構必須明確其“關鍵業務數據”是哪類數據，為此，應參照以下三個標準：

·這類數據一旦泄露，會否嚴重影響機構的收益和盈利能力？

·若發生這類泄露事件，機構領導層是否希望知曉？

·領導層知曉后會否采取行動？

用這三個問題對機構的數據進行評估，真正的關鍵業務數據將會一目了然。

數據定義工作完成之后，就要用定義衡量自身的業務，弄清真正的風險到底何在。舉例來說，最關切的部分并不一定與最易泄露的部分重疊。在許多案例中，機構中最有可能發生數據泄漏的部分往往可以通過修改某一業務流程輕易避免。

確保移動數據安全

中小企業主在數據保護上的另一項挑戰來自于移動辦公的普及。如今，大多數員工會在公司提供的移動設備或自已的移動設備上完成部分工作。他們通過移動設備、公司提供的計算機、辦公室的筆記本電腦獲取數據，而這些設備很可能沒有數據保護措施。

第三步，中小企業需要制定移動設備的安全使用政策，考慮現有的安全保護措施，以及完善移動設備的管理機制。越來越多的機構開始采用移動設備管理（MDM）工具：無線傳輸應用程序，統一各類移動設備的數據和配置，比如智能手機、平板電腦、移動打印機和移動銷售終端設備。

員工培訓

完成數據定義和移動設備管理之后，接下來是第四步：把數據保護政策傳達給員工。政策要簡明實用，明確哪些數據是機密的，機密數據應如何使用，以及員工應如何使用移動設備。

有了政策，還需要完成以下任務：

·解決違反政策并致使泄漏事件頻發的流程問題

·向用戶說明該政策

·向用戶提供持續的、實時的數據保護提醒

主動防止數據泄漏

如果流程改變，更新政策和教育用戶能解決大多數風險，而技術方面的加強能填補余下空缺。然而第五步才是重中之重：始終把數據安全列為首要任務。明智地、持續地把資金投入針對機構自身有可能面臨的風險而量身開發的數據安全技術。

考慮安排一部分內部或外部資源來監控和管理安全事務，確保這部分資源向適當的利益攸關方匯報。這一策略能使機構實時掌握安全動態，讓整個機構知曉并參與到數據保護當中。

數據泄漏始終會是令IT業者頭疼的問題，但已有經驗證的方法來保護你的機構。通過定義數據、管理移動設備、培訓員工、采取主動措施防止數據泄漏，你將能有效抵御風險，使自已免受數據泄漏之苦。