公司企業(yè)必須進(jìn)化自身安全實(shí)踐，方可跟上不斷變化的技術(shù)和相關(guān)安全威脅的發(fā)展。如果停滯不前，數(shù)據(jù)泄露的損失有可能是毀滅性的。

波耐蒙研究所《2016數(shù)據(jù)泄露損失研究》報告指出，每起數(shù)據(jù)泄露的總損失是400萬美元，每一條包含有敏感或個人身份識別信息(PII)的被盜記錄帶來的損失是158美元。想象一下，數(shù)百萬條記錄失竊時，是多么令人崩潰。

這些損失便是公司企業(yè)必須選擇最佳安全實(shí)踐的原因，通常，這種實(shí)踐指的是云的利用。下列十條安全建議，可供公司企業(yè)使用基于云的技術(shù)時優(yōu)先考慮。

1. 為敏感文件列個清單

連自己有些什么都不知道，何談?wù)页鋈笔Я四男〇|西?保證文件的安全，意味著要做好標(biāo)記：哪些信息存儲在哪兒，存儲方式是什么，訪問方式有哪些等等。

2. 最小化非必要數(shù)據(jù)存儲

存儲非必要信息的唯一用處，就是給網(wǎng)絡(luò)小偷更多的東西可偷。只需要存儲僅夠公司正常運(yùn)營所需的數(shù)據(jù)即可。老客戶的賬單信息和前雇員的社會安全號與你的現(xiàn)有業(yè)務(wù)運(yùn)營無關(guān)，只會成為網(wǎng)絡(luò)小偷的潛在目標(biāo)。把文件篩一遍，清除掉系統(tǒng)中的過時或非運(yùn)營關(guān)鍵信息。

3. 確保主機(jī)托管有物理防護(hù)

信息是數(shù)字存儲的并不意味著就沒必要使用物理防護(hù)。服務(wù)器應(yīng)被保管在上鎖的安全的地點(diǎn)。如果文件存儲在遠(yuǎn)程數(shù)據(jù)中心，該中心應(yīng)具備《鑒證業(yè)務(wù)準(zhǔn)則公告第16號》(SSAE 16)II類認(rèn)證和全天候的物理安全。所有數(shù)據(jù)應(yīng)在其他地方的額外服務(wù)器上有備份。

4. 使用高級加密協(xié)議

為最大化數(shù)據(jù)的安全性，采取所有必要的電子安全預(yù)防措施是十分緊迫的。這包括在傳輸時和平時都利用防火墻和SSL/TLS協(xié)議對文件進(jìn)行高級加密。

5. 用多因子身份驗證保證口令安全

一大批數(shù)據(jù)泄露都是口令使用疏忽的結(jié)果。口令應(yīng)是定制的，且包含有寬泛的配置選擇。建議采用多因子身份驗證結(jié)合多次嘗試不成功便鎖定賬戶的方式。

6. 配置行為跟蹤以記錄訪問歷史日志

團(tuán)隊成員、同事、客戶、承包商，大量人員有可能對特定文件具有訪問權(quán)。如果每個訪問者都賦予編輯權(quán)限，那么非正確修改的風(fēng)險是避免不了的了。其他風(fēng)險還包括惡意清除、蓄意破壞和共享機(jī)密信息。

行為跟蹤功能可留下每個用戶訪問文件的相關(guān)信息，比如用戶身份、訪問時間、所做修改等。此類文件行為的總結(jié)可通過電子郵件或短信即時通報給管理員。

7. 保證最小外部訪問授權(quán)

云的最佳益處之一(任何時候、任何地方都可進(jìn)行訪問)，同時也是其最大風(fēng)險之一。考慮一下被賦予訪問文件權(quán)限的所有人，其中就可能有你連見都沒見過卻手握你最敏感數(shù)據(jù)訪問權(quán)的人。

無論何時對文件賦予外部訪問權(quán)，管理員都應(yīng)該根據(jù)賦權(quán)角色對權(quán)限和控制進(jìn)行定制。也就是說，每個人都應(yīng)基于該項目的位置和責(zé)任被賦予打開、瀏覽或編輯信息的權(quán)限。就像網(wǎng)站設(shè)計顧問無權(quán)訪問財務(wù)信息一樣，某個客戶也不應(yīng)該看到你正在為別的客戶做所的工作。

8. 限制公共WiFi的無線應(yīng)用

智能手機(jī)、平板和筆記本電腦讓在外辦公變得容易，同時也為安全疏忽開啟了方便之門。這些個人設(shè)備經(jīng)常被用于個人事務(wù)，意味著可能會帶來交叉影響，比如從一個設(shè)備向其他設(shè)備感染病毒或惡意軟件。

另外，如果無線設(shè)備被盜或遺失，公司信息就有可能落入他人之手，通信也有可能通過公共WiFi網(wǎng)絡(luò)被竊聽。

使用虛擬數(shù)據(jù)室可以抵消公私混用設(shè)備相關(guān)的大多數(shù)威脅。

9. 培訓(xùn)并認(rèn)證員工

未經(jīng)合適的用戶培訓(xùn)就授予云訪問權(quán)這種事絕對不能發(fā)生。應(yīng)該花時間對新員工進(jìn)行云安全最佳實(shí)踐培訓(xùn)，甚至可以考慮為所有員工安排安全教育日。

10. 使用《健康保險流通與責(zé)任法案》(HIPAA)作為指南

即使沒有身處醫(yī)療保健行業(yè)，遵循HIPAA設(shè)置的隱私指南也不失為保護(hù)信息安全和機(jī)密的有效方法。使用HIPAA友好的項目管理軟件能幫助確保你的數(shù)據(jù)收到一流安全協(xié)議的保護(hù)。

有很多方法可供公司用以讓員工具備保護(hù)機(jī)密數(shù)據(jù)和最小化安全風(fēng)險的能力。隨著網(wǎng)絡(luò)攻擊每年帶來4~5千億美元的損失，忽視安全的后果是令人無法承擔(dān)的。

遵循以上建議，你的企業(yè)會盡可能地在保證安全的情況下盈利。