評估您的數據安全-確?？蛻舭踩牟粚こ３ＷR

數據安全是一個多方面的專業領域，需要組織的 CIO、IT 部門以及涉及組織數據的幾乎所有業務領域的廣泛參與。隨著網絡犯罪和數據泄露的發生率不斷增加，確?？蛻魯祿陌踩陵P重要。疏忽或對安全法規的誤解可能會損害客戶的敏感信息和組織的聲譽。

數據管理

數據安全的一個關鍵組成部分是全面了解貴公司負責哪些數據。利益相關者應大力投資于圍繞數據管理的流程，例如DAMA提供的流程。DAMA 大量參與了DMBoK的出版。DMBoK 定義了十個他們認為是信息和數據管理核心的知識領域；

• 數據治理（連接所有其他領域的核心知識領域）
• 數據架構管理
• 數據開發
• 數據安全管理
• 數據運營管理
• 數據倉庫和商業智能
• 文檔和內容管理
• 參考和主數據管理
• 數據質量管理
• 元數據管理

DAMA-DMBoK 并不聲稱是數據管理的完整權威，但它確實試圖為數據管理功能、術語和最佳實踐提供集中資源。關鍵決策者和數據管理專家至少應該精通核心功能知識領域，以便為您的組織提供基礎，在成功的數據管理實踐中建立業務能力。

此外，員工應熟悉數據保護指南以及相關法律法規以實施到他們的工作流程中。聯邦和州法律，例如SOX、HIPAA、FISMA和GLB，可能會從您的組織中引出有關數據管理的特定合規性要求。確保您的團隊了解特定數據的存儲內容、方式和位置，同時注意您的組織對強大數據管理最佳實踐和信息安全的承諾。

密碼安全和2FA

密碼安全可能是最重要但也是最容易被忽視的數據安全領域之一。密碼是您的組織抵御未經授權訪問的第一道防線，需要唯一的字符序列才能訪問設備、服務、資源或文檔。密碼對于用戶、用戶團隊或組織（在 Wi-Fi 網絡的情況下）可以是唯一的。安全密碼的標志包括最小長度、缺乏基于字典的措辭以及密碼的頻繁強制輪換。

NIST（美國國家標準與技術研究院）發布了您的組織可以使用的定期更新的密碼安全和信息安全指南。過去，NIST 建議使用具有唯一字符和隨機評分的極其復雜的密碼。在最近的更新中，您會發現這種情況發生了變化。NIST 認識到，在過去的幾十年里，當密碼復雜性要求很繁瑣時，非技術性最終用戶開始簡單地寫下他們的密碼——有效地否定了從執行嚴格而復雜的密碼策略中獲得的任何安全收益。

除了修改復雜性要求外，NIST 已經建議組織實施一種雙因素身份驗證形式已經有一段時間了。

身份驗證依賴于某些“因素”；

• 您知道的東西，例如密碼或密碼短語。
• 您擁有的東西，例如硬件令牌或電話。
• 屬于您的一部分，例如您的眼睛、指紋或任何生物識別。

雙重身份驗證 (2FA) 或多重身份驗證 ( MFA ) 是上述身份驗證因素中的兩個或多個的組合。在其初期，2FA 是使用標準SMS實現的，這是一種通過OTA文本消息發送一次性密碼的高度不安全的方法。NIST 在特別出版物 800-63B 中正式棄用了此消息。Duo、OneLogin、Twilio、Google 和 Microsoft 等公司提供實施安全、符合 NIST 的多因素身份驗證框架的應用程序和服務。

遵守

幾十年來，私營企業的某些部門一直受美國有關數據安全的特定立法的約束。由于所處理數據的敏感性，金融、醫療保健和教育領域的企業尤其受到關注。從社會安全號碼和地址，到賬戶信息和獲取數千億美元的資金，這些行業掌握著全球金融健康的關鍵。因此，立法者和監管機構制定了有關保護這些數據安全的具體立法。

特定的美國立法，包括 HIPAA、公平信用報告法 ( FCRA ) 和電子通信隱私法 ( ECPA )) 已由美國政府建立此類監督和監管。在歐洲，歐盟通用數據保護條例 ( GDPR ) 適用于更廣泛的經濟領域。這些特定的法律和法規范圍廣泛，并管理著如何獲取、保留和使用客戶數據。

隱私聲明

如今，僅僅為您的網站起草一份通用的隱私聲明是不夠的。相反，組織需要確保其隱私聲明深入、合乎邏輯且易于客戶理解。有效的隱私聲明應清楚地描述您的企業從客戶那里收集的私人信息、這些信息如何使用或與任何第三方組織共享，以及數據的存儲時間。隨時了解客戶數據的保留時間和使用方式。如果客戶決定不希望他們的信息存儲在您的站點上，您必須確保并傳達相應的程序，允許他們從您公司的服務器中刪除他們的數據。

如果不深入了解數據管理最佳實踐，也不了解在當前基礎架構中要評估哪些指標，組織可能會成為罰款、法律制裁以及更糟糕的是客戶數據受損的犧牲品。