你造吗?90%的数据泄漏是可以避免的

　　根据Online Trust Alliance，在2014年上半年中，如果企业重新考虑其战略风险，那么有超过90%的数据泄漏本是可以避免的。

　　Online Trust Alliance（OTA）是一个非盈利的、面向在线提高信任以及帮助企业最佳实践和风险评估的机构，并发布了2015年数据保护最佳实践和风险评估指南。该机构称，在去年的1月到6月期间，涉及到个人身份信息（PII）的丢失的数据泄漏问题，只有40%是由外部入侵引起的，而29%的只是疏忽或员工恶意造成的。

　　在OTA风险评估指南中指出，现代企业不仅要自问自己的安全实践是否达到标准，同时也要判断第三方供应商是否会对安全构成威胁。

　　企业需要自问的一些问题：

• 你了解国际和当地的监管要求以及基于客户或消费者的相关业务隐私指令吗？
• 你知道你所维护的客户的具体数据吗？数据存储、维护和归档的位置在哪里（包括供应商和第三方/云服务提供的商店或过程）？
• 在数据泄漏期间，你准备好如何与员工、客户、股东以及媒体沟通了吗？
• 你会将可以帮助确定违反根源的数据反馈给供应商吗？
• ……

　　OTA分析上千个涉及PII泄漏问题指出，如果坚持下面所列出的实践，那么2014年诸如名人照片泄漏等问题可能不会发生。

1. 实施有效的密码管理政策；
2. 让所有用户账户运行最低权限和最低访问级别；
3. 通过部署多层防火墙保护、杀毒软件来支持客户端设备，并确保禁用默认的本地共享文件夹；
4. 定期进行渗透测试和漏洞扫描；
5. 对所有进出的邮件进行电子邮箱验证；
6. 实施一个移动设备管理系统；
7. 实时监控公司网络基础设施；
8. 部署Web应用和防火墙以检测并防止常见的网络攻击；
9. 只允许授权的设备连接到无线网络；
10. 实施AOSSL（安全套接字层）来保护服务器；
11. 多频率检查服务器证书；
12. 开发、测试和完善数据泄漏的响应计划。

　　企业忙于解决不断增加的风险和威胁，往往无法采用基本的安全知识。而OTA发布关于数据隐私的指南和最佳实践将为企业提供可操作的建议。当结合其他管理时，这些建议可以帮助企业预防、检测、控制和纠正数据泄漏。借此也希望2015年不会出现可避免的数据泄漏。

原文来自：ZDNet