让员工保护数据安全资产的五种方法

   据行业监测机构Attrition.org声称，到2007年12月为止，在美国国内和国外被泄漏的记录超过1.62亿条，比如信用卡号和社会保障号。身份失窃资源中心表示，到2007年12月18日为止，在美国国内被泄漏的记录超过7900万条。这比2006年被泄漏的2000万条记录增长了近四倍。企业数据资产面临的威胁从来没有这么大过——代价也没有这么高过。
   
   由于员工在家办公，或者在外出差时在咖啡馆及其他异地场所办公，这种无边界企业面临这样的挑战：需要在开放性和灵活性与安全和风险之间寻求平衡。然而，敏感数据的泄漏及丢失事件大多是由于员工没有接受安全教育，结果一时疏忽把公司置于险境。因为大多数泄漏都是意外事件，公司就有机会通过对员工进行教育、知道如何处理信息才合理，更有效地保护企业数据。

   消息传送系统、无线网络和USB存储设备数量激增，导致保护企业的关键数据比过去来得还要困难。如今许多企业作为“无边界”组织来运营，员工和合作伙伴在全球范围内共享信息，这个现象越来越常见。

   下面五个办法可以把员工变成安全资产，而不是安全负担。

    一、让“确保数据安全”成为企业文化的一部分。

    保护敏感信息不应该是安全和管理团队的惟一责任。每个部门经理都有责任帮助确认及找出敏感数据，并且拟订政策，规定员工如何合理地访问、使用及保护数据。

    已知要访问敏感数据的每个员工都应当接受明确有责任保护公司数据的政策和规程方面的培训。这样一来，员工和经理都不但要为自己使用敏感数据负责，还有助于彼此监督，确保每个人都在遵守这些政策。

    二、把数据泄漏预防流程纳入总的工作流当中。

    许多公司之所以对敏感数据丧失了控制权，就是因为敏感数据的识别、访问及转移并没有纳入总的工作流当中。比方说，创建新的文档或内容时，有没有分类流程来确定该运用怎样的相应政策？或者当员工加入一个部门或在部门之间调换时，新老部门有没有开始实施数据保护和访问控制流程？另外，新的移动设备或远程开发站点会带来新的威胁途径，从而导致数据泄漏。

    如果公司认真考虑了核心流程，并且采用了适当的数据保护步骤，就能大大降低数据泄漏风险。

    三、在执行政策的同时，对员工进行政策方面的教育。

    行之有效的数据安全政策应当采用“软硬兼施”的方法。应当对员工进行公司政策方面的教育，最好是在“使用时刻”（point of use）或“违反时刻”（point of violation）进行教育。如果员工把敏感文档拷贝至USB驱动器、从而违反了政策，这时候对他们进行教育最有效，

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点