信息数据管理不善将业务推向风险边缘

据信息安全意识培训服务公司昆明亭长朗然科技有限公司的一项调查表明:大多数的高层经理们并不清楚公司的敏感数据如何存储的,更没有清晰的数据访问安全政策。

这就将公司持续运作所赖以的关键信息数据置于严重的毁坏、丢失或曝光可能性之下。在虚拟化、云计算、员工自带计算设备BYOD、以及在线存储服务日益普及的时代,公司IT服务部门已经无法继续沿用传统的内部信息系统集中控管商业数据的方法,而作为商业数据“所有者”的各业务部门经理主管们对信息安全保护的重要性认知水平可能并不够,当数据在外、内部IT环境和控管措施无法对其实施足够的安全保护之时,数据安全问题变得日益严峻。

好在商业信息化流程的变革或创新不是一天所能达成的,云计算和移动应用的优势明显,公司无疑应该积极采用, 以便在提升产品质量、产能、效率等等的同时促进科技创新和降低成本开支。问题在于对公司数据向外流动时的安全控管,多数业务部门的经理们并非云计算或在线存储安全方面的专家,他们更关注变更能证明短期的业绩获得了提升,当然这些并没有错,只是如果没有足够的安全保障,可能会为日后长远的商业成长埋下地雷。

近期,大量的互联网公司亏本做智能手机,除却通过利用入口和应用来争抢互联网用户之外,加强用户粘性,通过获取和分析用户的使用行为和习惯,提供定制化高命中率的广告服务,以便获取更多商业利益才是实质。

所以,除了这些做智能终端的互联网公司,也有不少其它互联网公司开始提供在线存储和远程数据同步。远程数据同步对于终端用户来讲的好处在于异地备份,和随时随地取用。然而,多数终端用户没能注意到的是在线数据存储服务商将如何对待这些数据的条款以及这些条款的意味:首先,服务商肯定会去读取它们;其次,除了收费的服务之外,服务商多不会为在线数据的安全性负责。黑客对数据的恶意篡改、非授权的数据访问、由于意外而造成的数据丢失等等,没有人会负责。可是,数据安全问题,用户可是伤不起。

“通常云计算服务厂商并不想伤害用户,但是谁都不能打包票不出商业毁坏或泄露等等的安全意外。”亭长朗然公司的云计算安全研究员Charles Liu说:“各类型的组织机构可得清醒过来了,将IT应用和数据从传统的内部IT网络中迁移到基于互联网的云计算,可以降低成本和增强商业竞争力,但是组织需要保有足够的安全控管能力。”

首先,选择重视客户数据安全保护的服务商,这些服务商往往会通过了相关的IT服务管理认证和信息安全管理体系认证。

其次,仔细阅读和了解相关的数据安全保护条款,并结合组织的实际情况,选择合适的数据存储、数据安全服务的项目和内容。

再次,同服务商以及云计算系统及数据的用户建立适当的数据访问控制管理流程,如数据分级、加密存储、权限审批、访问控制、访问审核、灾备方案等等。

最后,加强对各级业务部门经理主管以及基层员工进行安全意识培训,让他们了解和认识基本的信息数据安全保护常识,掌握工作相关的数据安全保护措施和流程,在最终用户可以随时随地获得相关数据的时代,这一点尤其必要。

简单总结一下,业务的成功越来越信赖信息化这一核心竞争力,而信息化的核心在于业务应用系统和商业数据,大的趋势之下,应用系统和商业数据将跃至云端,它们的最终用户和所使用的访问终端也是远处不在,安全控管也需要从传统的内网和边界迁移至云端及终端,针对终端用户的安全意识培训比以往任何时候都要紧要。

数据安全保护畅谈

data-security-diagram-blue-lock
尽管今天我们的世界由海量数据包围着,仍然有不少中小机构的企业家以及大型组织的主监经理主管们对数据安全很迷茫,家庭、学校和个人用户则更是如此。人们并不知道该如何采取必要的步骤,来保护这些数据,免于失窃或滥用。

在安装了桌面防病毒软件,或部署了企业防火墙,或设置了系统访问密码之后,人们都会觉得这样已经足够防范安全事件,甚少希望这些措施能够生效。

其实,到底信息安全该怎么做?除了极少数有企业信息安全管理经验的人员之外,绝大多数人都些都是一知半解,不知该如何开始。

数据安全,简单说,不就是保护企业和个人的电子信息和纸质数据么?对也不对,因为数据存在的形式不止电子的和纸质的,也存在于我们的头脑之中。更宽泛一些讲,一切存在都有信息,我们的五官能感受到的一切都是信息。听到的、看到的和想到的,都是信息。很简单地举例讲,仅靠防病毒软件是永远无法防范口头泄密的。

不过电子信息的安全和纸质媒介的安全确实是数据安全的工作重点,但是我们也不能简单只部署一些技术层面的安全控制措施。要保障数据安全,我们需要全面综合的数据安全管理体系,这包含和超越了传统的基于技术和系统的数据安全解决方案。

在规章制度方面,我们需要建立适当的数据保护策略,这包含但不仅仅是保密工作的范围。如同企业中的其它管理制度一样,永远不要指望发布一个文件之后人们便会主动学习和自学遵守。我们需要强化数据安全保护策略的沟通,同员工们之间的有效沟通是我们领先于业界竞争者的关键,因为强大的执行力源自有效的沟通。

需要沟通的数据安全保护政策内容至少应该包括:我们应该保护哪些数据?为什么要保护这些数据?这些数据如果保护不当会怎么样?该如何保护这些数据?有哪些技术措施和管理措施来防范数据安全事件?该怎么应对数据安全事件?有哪些正确的和错误的数据保护操作实践?

根据业务的不同,我们的数据安全政策沟通不应该仅仅限于员工群体,更应该扩大到客户以及合作伙伴。通常来讲,人们更加信任那些承诺致力于保护客户信息数据,并付诸行动的厂商。数据安全策略的发布和沟通正是这种承诺的一种最佳展示。

要知道,保障数据安全并非只是保护数据本身,信息数据自产生、存储、传输、处理、展示、分享和销毁等等生命周期的多个环节都离不开周边环境、计算平台,以及终端用户。昆明亭长朗然科技有限公司创始人董志军说:数据与系统及人员之间没有办法独立开来,甚至还会互相影响。所以,我们需要保护数据安全所依赖的周边环境,创建安全的数据中心环境和办公室环境、加固网络基础设施和信息系统平台、同时提高人员的安全防范意识。

在移动计算、云计算和社交网络时代,数据安全的保护面临着更多的挑战。人员的安全意识上升到前所未有的高度,亭长朗然公司董志军分享了如下几点安全建议:

1.在密码中混合使用数字、大小写字母和标点符号,并且定期更改密码。复杂的并且定期更改的密码可以增加黑客通过入侵或破解进而窃取或破坏数据的难度。

2.不要在所有网站上使用相同的密码。

3.提高警惕,不要乱点乱开,防范恶意链接和附件。

4.不要张贴敏感或机密的信息,发布或分享信息前,问一问自己的权限。

5.启用社交媒体的安全设置,在保护好身份安全的同时保护好隐私安全。

6.强化员工数据安全保密意识教育,分享聪明使用社交媒体的常识。

帮助各类型的组织机构降低人员相关的数据安全风险是昆明亭长朗然科技有限公司的使命。正因为如此,我们推出了在线版的数据安全意识保护教程,以及信息安全意识在线动画课件,欢迎免费在线体验和使用。当然,我们也欢迎您在线了解更多的信息安全意识资源库内容,或我们联系洽谈业务合作。