当前位置:首页 > 最新资讯 > >

如何保护你的公司不受数据盗窃侵犯

数据盗窃指的是非法转移或存储保密信息、个人信息或财务信息。数据盗窃严重的违犯了安全隐私,其后果无论对个人还是企业都是非常严重的。它已经并且将继续给全球各个组织带来数不清的问题,那么有什么解决方案呢?你和你的企业将如何防范它?

注册舞弊审查师Bill Hardin是Navigant 咨询公司的董事,他对注册舞弊审查师如何帮助客户和公司防范数据盗窃给出了四方面的建议。


1)有成本效益的行为
Hardin建议从两个层面看待数据盗窃,实体安全和信息安全。关于信息安全,公司目前可以选择的捷径就是使用双重认证。终端使用者先输入他们的密码,然后会收到一个认证或是需要再次输入的数字密码,这样的双重认证相较于单一认证是防范入侵者的快捷方式。
另外一个快捷方式是DLP(数据丢失防范),它会在你的网络中扫描PHI(受保护的健康信息)或者(个人识别信息),这个术语指的是个人信息例如名字,生日,社会保险号和信用卡号。这使你能发现公司中谁有权接触这些敏感信息,是一个主动防范方法而不是被动应对方法。对于实体安全,Hardin提到例如门卡这样的工具,这决定了谁能进入你的建筑和员工如何取得使用你的网络的机会。基本上,当你考虑这些问题时要以整体分析法看每一件事。


2)公共控制弱点
从信息技术方面来看,知道你的员工有权接触什么是非常重要的。Hardin建议不要使用通用管理员密码,而是给每个员工分配一个用户名和密码,并且每个人相应的权限也需要仔细审查。作为一个前软件开发师,Hardin同样建议在测试某些系统时使用虚拟数据而不是实际生产数据。这样就不用担心数据会流向哪里或者数据会遭遇什么。
如果你准备允许开发者下载开放源码和其他东西,那么从程序的角度看这个问题是非常必要的。你需要密切监控这个过程,因为许多开源软件中存在一些链接可能会下载恶意软件或者其他不好的东西。你需要衡量这些风险和控制然后做出决定。


3)访问控制
Hardin提到了许多不同的解决方式。首先通过萨班斯奥克斯利测试来看一下公司中各人的角色和职责,尽管许多公司是半年或一年进行一次测试,他建议这类测试要每月进行一次。因为人们的角色和职责总是在变,所以时刻关注总是好的。其次,监控,监控,监控。谁有什么样的权限,数据存在哪里。你需要了解数据在哪里,特别是你的敏感数据,以及谁有权限接触它。你同样需要定期审核员工的权限以决定他们是否真的需要某些权限。


4)安全风险评估
安全评估可以通过多种方式进行,是防止数据盗窃的重要方面。Hardin提到了外部渗透测试,通过雇佣第三方来测试你公司的网站来检查外部薄弱点。之后是内部渗透测试,Hardin用社交工程来形容。你雇佣另一个第三方进入内部,以测试在你发现并阻止渗透之前他们深入你的网络的程度。


进行软件审计并且检查你是否对所有的机器都有相关的授权是Hardin主张的另一个保护措施。如果你从别人那里获得机器但是你并不知道机器里有一个软件,那么它本身就是一个问题。资产追踪是非常有益的,了解网络中有多少资产。你那里是否有一台服务器你都不知道谁联接进来的?


最后,花些时间扫描你的电子邮件文件也能增强保护。虽然这很容易,但是如果有人收到了一些信息例如包含社会保险号的客户名单该怎么办。如果那个人不小心丢了她的笔记本电脑或是你的电邮系统遭到黑客攻击,你真的想让这些信息在你的网络中疯传么?预防性维护是目前保护公司不受数据盗窃侵犯的最佳办法。正如Hardin 所说,“在真正遭遇前要了解你可能会遭遇什么。”
关键术语:


数据盗窃=数据盗窃指的是非法转移或存储保密信息、个人信息或财务信息,包括密码,软件代码,或者算法,专有流程导向信息,或者技术.
DLP=检查数据外泄的软件
PHI or PII=用来联系,定位或者识别某个个体的数据,这些数据可以是单独的,也可以与其他资源联合



声明:本文翻译自ACFE官网,译者苑茜,转载请注明出处和译者。 


上一篇:重大舞弊的不归路


下一篇:建筑行业存在的舞弊

ACFE美国注册舞弊审查师

免费领取反舞弊师考试真题

姓名:
电话:
邮箱:
关注宏景官方ACFE公众号

版权所有: 深圳市泛特宏景咨询有限公司, 粤ICP备10094233号-9

免责声明:本网站的部分内容来自于互联网,网站中所引用的相关公司LOGO、商标、版权归相关公司、法人及原作者所有。

友情链接: