【IT专家网独家】近年来,身份盗窃案件有增无减。那么企业单位是否为此采取了有效措施呢?要知道,许多个人识别信息(PII)正以惊人的速度穿过安全的闸门并最终落于罪恶之手。
为了保护单位的雇员和客户,企业需要评估企业的公司是如何保护个人识别信息的。下面笔者给出企业需要避免的七大错误:
用户不理解个人保护措施和策略
用户一直是企业网络环境中的最薄弱的环节,而且目前没有任何措施可以改变这一点。如果企业的用户不能识别和处理个人识别信息,那么其中的某人将这种数据拱手交给罪恶之手也就是时间问题了。
其解决方案是很简单的:就公司处理个人识别信息的策略和机制教育企业的用户,并且不要忘了进行经常性的检查复习。
与不恰当的企业合作
如果企业已经保障建立了坚如磐石的安全策略,而且培训了用户。但是企业的合伙人也能做到吗?企业是否与那些几乎没有安全措施的企业共享了信息呢?
企业应当教育并培训它的合伙人,要教育合伙人如何保护敏感信息。如果可能的话,可以向其要求培训费用,但要将培训教育工作做得彻底。
保存过期数据
在有些数据完成历史使命后,企业是怎样对待这些数据的呢?在企业不再需要个人识别数据时,如果没有破坏它,企业的工作是远远不够的,或者说是有缺陷的。笔者的意思不是丢弃这种数据,而是要彻底地毁灭它。
身份窃贼经常要通过银行的结账单、信用卡收据等谋利。所以在企业不需要个人识别数据时要将其毁灭。如果企业的公司没有碎纸机, 那么今天就应该买一台。
不重视物理安全
物理安全是保护计算机网络设备、设施以及其它媒体免遭地震、水灾、火灾等环境事故以及人为操作失误或错误及各种计算机犯罪行为导致的破坏过程。保证计算机信息系统各种设备的物理安全是整个计算机信息系统安全的前提。企业应当实施物理访问的控制,用以防止未授权的人员(包括雇员)获得对个人识别信息的访问控制。应当装备门锁及标记阅读器,由此开始企业的物理访问控制。
对档案没有采取保护措施
如果企业的网络上并没有特定的存储区域,也没有档案柜等可以保存个人识别数据,那么企业又能如何恰当地保护它呢?企业应当清查自己的网络,包括其档案资料的复制品,并制定一个保护这种数据的计划。这正是对那些闲置不用的数据进行加密和锁定档案柜的大好时机。
忽视网络活动
如果企业不打算积极地监视网络上的可疑活动或事件,那么就应当终止收集这种数据。企业应当制定一种能力范围内的方法和预算,目的是监视网络上的可疑活动和事件。应当分辨哪些是正常的网络活动,哪些是异常的并且可能构成威胁的网络活动。在企业如此做时,应当制定一个响应策略,并使其可以减轻安全事件的危害。
不知道或不进行安全审核
现在有大量的企业并不知道应当审核哪些安全事件,或者并不阅读其安全日志,或者上述两种情况兼而有之。如果企业还不能确定应当审核哪些事件,就应当努力查找确认。企业今天就需要建立安全审核,并且检查企业的安全日志。
结束语
身份盗窃正日益加剧,不过我们不应当让窃贼轻易得手。无论在家里还是在办公室中,我们完全可以采取一些额外的措施,防止身份盗窃现象的发生。
IT专家网原创文章,未经许可,严禁转载!
