在遭遇数据泄露时,我们都将是受害者,没有人能独善其身。几乎所有类型的组织(包括您的组织)都存储了关键的个人身份信息(PII)。只要存储了这些关键的个人身份信息都将可能成为被攻击的目标,而不论组织大小如何、什么行业或其他什么因素,而只需要一名内部员工遭到网络钓鱼,多强的网络防护都将无济于事,这意味着每个人都会成为风险点。
据相关统计数据表明,数据泄露事件正在增加,并且可能给组织带来长期灾难性的财务和声誉损失。PonemonInstitute发布的“年数据泄露成本报告”中估计,美国企业组织因数据泄露而遭受的平均损失成本接近万美元,每条被泄露的数据记录的平均价格约为美元。
数据泄露的方式有很多种,而在防范数据泄露方面,需要采取多方面的方法才能成功,不存在一种“一刀切”的解决方案。以下4种方法或许可以帮助您的组织来加强数据安全防护,防止数据泄露。
1.加强员工培训
让所有新员工接受数据安全方面的培训,并要求所有员工在每年年初参加进修课程,以确保最新的安全准则能够让他们牢记于心。
尽管这类培训可能很乏味,但却是必不可少的,而且只需很短时间即可涵盖基本细节。例如,员工应当:要将所有设备(例如台式机、笔记本电脑、平板电脑、电话)视为能够借此侵入组织系统的跳板;切勿写下或留下密码记录,以防被别人寻获;对来自未经验证的人的电子邮件或电话进行安全验证,要求输入密码或其他认证信息等等。
还应包括建立一些最新的违规统计信息,以帮助员工理解威胁的严重程度和普遍性,以及可能对组织带来的严重后果。
2.模拟网络钓鱼攻击
许多安全问题是由人为错误导致的,例如员工无意间单击恶意电子邮件中的链接。
鱼叉式网络钓鱼攻击(即针对特定目标的网络钓鱼攻击)导致员工中招的可能性更高,因为它们针对的是特定人员。这些消息可能引用了与某些部门或常规工作职能高度相关的信息,例如财务部门收到来自假冒某银行的关于组织财务方面的邮件,人力资源部门收到来自招聘网站的特定的人才招聘信息的邮件等等,更容易蒙蔽员工并诱导其点击这类的钓鱼邮件链接。
免费或付费的网络钓鱼模拟器可以让组织通过发送某些特定的电子邮件来测试员工对网络钓鱼电子邮件的辨别能力,当有人点击了这些消息时,组织将对其进行警告。
通过使用这类模拟器,组织可以对员工进行积极的培训,以帮助他们提高对网络钓鱼攻击的应对能力。
切记,要提醒员工如果遇到无法%确保邮件绝对安全的情况下,都要慎之再慎。而如果员工遇到熟悉的发件人发来的邮件,看上去有些不正常时,那么就要及时通知组织的IT人员来进行检查。
3.评估账户
您所在组织的IT团队多久评估一次现有的账户?评估账户可能是一个复杂的过程,但是通过评估组织内所有已激活的帐户,可以大大提高安全性,并最大程度地减少臃肿的无效账户。
您的组织中是否存在以下问题:已经离职的员工仍然可以访问原有帐户?当员工岗位和职责发生变化时,是否有审查程序来确定和更新因此带来的对账户权限的改变?
一年中评估账户的最佳时间可能是您更新上一年中每个人的账户的时候。如果在评估账户的时间问题上,持续困扰着组织的IT团队,那么可以选择在其他项目的空余间隙来完成它,或者在比较空闲时间段内将其作为一个大的项目来实施。
4.评估帐户生命周期流程管理
当员工已经离职,或外部顾问人员不再为组织服务时,停用这些账户的标准流程是什么?这些账户类型(无论是否涉及安全性问题)是IT系统中孤立账户最多的一类。
手动管理或自动停用这些无效帐户非常重要,应及时审查并优化组织的停用账户流程,确保及时限制该类账户,以避免其对组织造成潜在的风险。
快速响应是应对安全风险的有效法宝,一个高效的帐户审查流程可以及时清理掉那些潜在的风险,让组织的网络安全防护更上一层楼。
结语:实施安全的单点登录(SSO)解决方案
对于大多数系统和应用来说,单点登录可以确保所有员工更安全地登录系统。用户只需要记住一组凭据,管理员就可以在不受更多限制的情况下更好地保护这些信息,同时又不会减少访问的次数。通过将入口点限制在一个位置,可以很好地防止潜在的数据泄露。可配置的安全设置(例如日期和时间限制)能够让管理员更安全地控制其IT环境,即使系统和应用程序在云环境中也是如此。
对包含某些特定敏感信息的应用程序和系统进行限制访问,让除特定物理位置之外的任何地方都无法访问,这样就可以更好地防范风险,并且安全的入口站点可以维护用户活动的日志,包括何时以及如何访问信息。
数据是组织最有价值的资源之一。保护这些数据资产不一定要多么复杂或昂贵的技术和产品,但必须确保安全策略被正确地实施。接下来就通过实施这些安全策略,来加强组织的数据安全防护吧。