要保证数据安全需要做的大部分工作都是相对简单的,前提是我们要问自己六个关键的问题:“who, what,where, when, how, why”
Who代表着不同的股东;What代表着哪些数据需要保护;Where表示存放数据的位置;When代表数据最敏感的时段,比如升级时;How代表需要做哪些事;最后Why代表数据价值与业务之间的联系。能够回答这六个问题,那么保证数据安全并提供更好的透明度这一目标就已经实现95%了。
在移动化时代,BYOD甚至被视为USB存储出现之后最大的IT安全隐患,但移动化为企业带来的创新和优势是无法忽视的。企业完全可以在保证数据安全的前提下,享受移动化的好处。当然,这需要企业能够对数据提供合理的掌控。
先从最容易实现的目标入手是非常关键的,确保最基础的数据控制就可以避免许多安全隐患。然而这种方法需要为用户进行有效的安全意识培训,企业可以摒弃传统的“教书”方法,利用现实中的场景模拟来实现用户教育。记住,这样做的目标并不是教会你的员工改如何做,而是从根本上改变他们看待安全问题的方法。
一个好的安全意识培训,其目标是让用户形成下意识的反应,让他们理解为什么这样的行为对数据来说是具有风险的。
除此之外,非常重要的一点是要让所有的股东都理解风险并非只关注于核心业务,信息的安全也是需要考虑的风险之一。业务部门人员也许并不能理解信息备份的重要性,但他们能理解为贵重的物品买额外保险的道理。企业安全负责人需要不断教育业务人员数据安全的意义,以及其背后隐藏的风险。在这一过程中,安全负责人需要确保用业务人员能够听懂的语言来描述,这是非常重要的。