隨著媒體曝光了政治數(shù)據(jù)分析公司Cambrige Analytica在用戶一無所知的情況下獲取了約8,700萬Facebook用戶的數(shù)據(jù)，數(shù)據(jù)安全問題再次成為企業(yè)必須優(yōu)先關(guān)注的重點(diǎn)。

不同于之前高調(diào)曝光的數(shù)據(jù)丑聞，此次事件并不屬于數(shù)據(jù)泄漏，也沒有黑客破解安全系統(tǒng)。據(jù)Facebook稱，實(shí)際情況是劍橋大學(xué)的某學(xué)者“以合法的方式”獲取了這些信息，但后來卻違反了數(shù)據(jù)隱私政策，將其轉(zhuǎn)交給了劍橋分析。

不過，該事件的影響絕對(duì)不容小覷：丑聞爆出后，F(xiàn)acebook的股價(jià)大幅下挫，而Cambrige Analytica更是在2018年5月宣告破產(chǎn)。盡管這起事件涉及的數(shù)據(jù)規(guī)模對(duì)大多數(shù)企業(yè)而言并不算大，但損失依然非常嚴(yán)重，尤其是對(duì)于像Facebook這樣以客戶信任為基礎(chǔ)的企業(yè)。

**強(qiáng)制性數(shù)據(jù)泄露通報(bào)**

企業(yè)應(yīng)當(dāng)高度重視數(shù)據(jù)安全還有另一個(gè)原因——合規(guī)性。澳大利亞的《數(shù)據(jù)泄露通報(bào)制度》（Notifiable Data Breaches (NDB) legislation）已于今年2月正式生效，而在歐洲開展業(yè)務(wù)的公司還必須遵循歐盟的《一般數(shù)據(jù)保護(hù)條例》（GDPR），后者于2018年5月生效。

澳大利亞新的數(shù)據(jù)泄露通報(bào)計(jì)劃強(qiáng)制要求特定的組織機(jī)構(gòu)必須披露數(shù)據(jù)泄露事件。

澳大利亞信息專員辦公室（OAIC）表示：任何可能對(duì)個(gè)體造成嚴(yán)重傷害的個(gè)人信息數(shù)據(jù)泄漏，都必須向澳大利亞信息委員會(huì)辦公室以及受影響的個(gè)體報(bào)告。

《數(shù)據(jù)泄露通報(bào)制度》適用于所有年?duì)I業(yè)收入超過300萬澳元的組織機(jī)構(gòu)，以及特定類型的公司，如從事個(gè)人信息交易的公司。不過，即便在該制度適用范圍之外的公司或機(jī)構(gòu)，也應(yīng)該采取最為嚴(yán)格的數(shù)據(jù)安全措施，讓企業(yè)能夠及時(shí)發(fā)現(xiàn)數(shù)據(jù)泄露事件并快速應(yīng)對(duì)，從而盡可能減少對(duì)企業(yè)及其客戶的潛在損害。

識(shí)別敏感數(shù)據(jù)

然而，要確保數(shù)據(jù)安全并非易事。需要應(yīng)對(duì)的第一個(gè)挑戰(zhàn)就是識(shí)別公司持有的敏感數(shù)據(jù)及其存儲(chǔ)位置。

公司內(nèi)部有多少電子表格含有敏感的業(yè)務(wù)或客戶數(shù)據(jù)？

你或許無法確定，當(dāng)然這種情況并不鮮見，公司都有這樣的問題。每張電子表格都有可能造成嚴(yán)重的數(shù)據(jù)泄露，例如不小心弄丟了含有這類文件的筆記本電腦，或者有員工無意間將這類文件發(fā)送給第三方。其實(shí)，在2015年就發(fā)生過類似事件，新西蘭衛(wèi)生部的一位官員不小心將一份含有24,000位新西蘭公民醫(yī)療信息的電子表格發(fā)送了出去。

如何才能識(shí)別公司內(nèi)部的敏感數(shù)據(jù)？

雖然識(shí)別敏感數(shù)據(jù)沒有捷徑可走，但科技確實(shí)可以提供相應(yīng)的幫助。例如，Covata的CipherPoint數(shù)據(jù)探索工具可以搜索整個(gè)企業(yè)的文件以尋找信用卡卡號(hào)、患者信息、個(gè)人身份識(shí)別信息以及知識(shí)產(chǎn)權(quán)等定制數(shù)據(jù)。

云服務(wù)的日益普及同樣會(huì)導(dǎo)致敏感數(shù)據(jù)的存儲(chǔ)位置難以確定。來自思科（Cisco）以及Skyhigh等科技公司的云訪問安全代理（CASB）軟件可以幫助客戶確定大型組織機(jī)構(gòu)中有誰使用了哪些云服務(wù)。

盡管這些工具非常有用，但它們僅僅是能夠?qū)M織內(nèi)部每個(gè)人使用的每臺(tái)電腦和設(shè)備進(jìn)行全面的數(shù)據(jù)審計(jì)，并非完整的解決方案。

如何確保公司的數(shù)據(jù)安全

一旦找到了公司的敏感數(shù)據(jù)，你就可以尋找合適的解決方案來確保企業(yè)數(shù)據(jù)安全，但這絕非易事，因?yàn)橛刑嗫赡馨l(fā)生數(shù)據(jù)泄露的渠道。除了惡意軟件和其他外部威脅，筆記本以及其他設(shè)備還可能會(huì)丟失或被盜。電子郵件，尤其是較長的電子郵件鏈，則是數(shù)據(jù)泄露的另一個(gè)常見來源。

技術(shù)在這方面同樣可以起到輔助作用。

殺毒軟件和防火墻是不錯(cuò)的入門選擇，但組織仍在尋找創(chuàng)新的解決方案。例如，火眼（FireEye）和Cybereason等公司推出的端點(diǎn)檢測和響應(yīng)（EDR）軟件可利用機(jī)器學(xué)習(xí)等先進(jìn)技術(shù)來監(jiān)控設(shè)備。

對(duì)于大型組織，賽門鐵克（Symantec）和Trustwave等軟件提供商的數(shù)據(jù)泄露防護(hù)（DLP）解決方案可以為其提供監(jiān)測網(wǎng)絡(luò)數(shù)據(jù)和流量的工具和技術(shù)，從而防止組織泄露敏感信息。

從海量的安全解決方案中選出合適的方案并非易事，但澳大利亞國防情報(bào)局（Australian Signals Directorate）高度重視的基本八條（Essential Eight）網(wǎng)絡(luò)安全策略將對(duì)組織數(shù)據(jù)的保護(hù)大有助益。對(duì)于微型企業(yè)和個(gè)體經(jīng)營者，我們的隱私保護(hù)建議同樣有助于確保你及客戶的數(shù)據(jù)安全。

當(dāng)然，技術(shù)同樣不是完整的解決方案。正如每位網(wǎng)絡(luò)安全專家建議的那樣，數(shù)據(jù)安全不再只是一項(xiàng)IT職能，而應(yīng)是持續(xù)進(jìn)行的計(jì)劃，涉及組織內(nèi)部的戰(zhàn)略、流程、政策以及員工培訓(xùn)，從而盡量降低數(shù)據(jù)泄露的風(fēng)險(xiǎn)，并最大程度地提升快速應(yīng)對(duì)數(shù)據(jù)泄露事件的能力。

數(shù)據(jù)安全：這是個(gè)信任問題

Facebook與Cambrige Analytica的丑聞對(duì)于這家社交媒體巨頭未必會(huì)有持續(xù)的影響，但大多數(shù)企業(yè)不具備能夠經(jīng)受住這種程度打擊的規(guī)模和市場地位，因此，這是一個(gè)有關(guān)不該如何使用（或允許使用）客戶數(shù)據(jù)的很好的教訓(xùn)。至于你自己的隱私，你必須檢查自己的Facebook隱私設(shè)置，Facebook為了方便用戶檢查自己的隱私設(shè)置，也在近期對(duì)該模塊進(jìn)行了更新。

將數(shù)據(jù)分析功能用作商業(yè)工具確實(shí)極具誘惑力，但應(yīng)記住這些數(shù)據(jù)是來自于信任公司的客戶，并且這種信任一旦失去，就很難再重新獲得。

【微語】你踏上異國的土地,追尋夢(mèng)想的翅膀在風(fēng)中展開,每一步都是成長的印記。