一家企业的人力资源团队收到了一封来自外部顾问的电子邮件,通知他们关于银行详细信息的更新。该团队立即注意到其顾问机构的电子邮件地址与原来的邮箱地址之间的细微差别。因此,他们决定采用其他的沟通渠道通过即时消息与顾问取得联系。
而这位顾问根本不知道神秘邮件的发件人是谁。但是网络犯罪分子知道他的名字,知道他为哪家公司工作,人们能够想象如果网络诈骗者成功了会发生什么?企业可能浪费大量时间和费用,与客户的关系甚至可能受到损害。而作为需要要处理大量信息的项目管理经理,现在确保信息的安全比以往任何时候都更加重要。
项目管理主管必须实施的数据安全措施
(1)保持正确的密码卫生
密码泄露是网络犯罪分子窃取信息最容易的方法之一。这使得企业和其团队在创建、存储和共享密码和访问权限时养成良好的习惯变得至关重要。密码卫生始于安全的密码创建。制定适当的政策,确保团队中的每个人都知道如何创建强密码。尽可能减少使用共享密码。
为了补充这一点,可以考虑使用密码管理器。这有助于确保虽然设置的密码很强大,但不会忘记密码无法登录。最后,采用双因素身份验证。该设置需要用户在登录到帐户之前执行额外的步骤。其验证是通过单独的一个电子邮件地址或移动电话完成的。
(2)遵守资料私隐规定
遵循数据保护指令的关键法规和条款,如GDPR和CCPA,可能看起来很乏味,但如果正在处理个人和机密信息,不要疏忽和是自满。如果与欧洲企业进行交易,必须遵守欧盟通用数据保护条例(GDPR),无论其规模、行业或业务地点如何。
对违规行为的处罚最高可达企业年收入的4%或2,000万欧元。如果是一家年收入至少2500万美元、服务于加州居民的公司,那么你必须遵守《加州消费者隐私法》(CCPA)。与GDPR法规一样,《加州消费者隐私法》(CCPA也要求对其拥有的数据及其处理方式保持透明度。如果违规,个人可以提起集体诉讼。每次违规,企业支付的罚款从2500美元到7500美元不等,消费者每次违规可获得100美元到750美元的赔偿。
(3)管理和备份数据
数据管理可能很繁琐。如果要处理大量信息,可能值得考虑使用数据托管提供商。数据托管提供商帮助企业保持数据的组织性和可用性,最重要的是确保数据的安全性。他们提供全天候支持的层层保护。它们还遵守严格的标准,因此企业可以确保没有违反以上提到的任何规则。
由于数据是众多项目和业务的关键,因此为自然灾害、设备故障或网络攻击做好应急准备也应该是企业考虑的一部分。要做到这一点,很好的一个方法是确保具有安全的备份,但在紧急情况下可以很容易地获取。在这里可以派上用场的一个服务是灾难恢复即服务(DRaaS)。DRaaS解决方案允许企业创建其IT基础设施的备份,而无需投资更多的基础设施和管理。
(4)保护企业的设备
虽然这主要是您的IT团队的责任,但当涉及到公司设备时,您还是应该尽自己的一份力量保持警惕。随着数据泄露技术变得越来越复杂,科技公司通过软件补丁不断改进产品和服务,尽其所能应对这一问题。
确保您的设备使用最新的软件、操作系统和杀毒技术,可以帮助您最大化地保护它们。打开系统更新通知,帮助您密切关注系统的最新发展。如果您的IT团队错过了它,请跟踪并尽可能地保护团队的设备。
(5)教育团队、客户和顾客
企业的项目数据可能被团队的任何成员或客户破坏。也就是说,确保每一个同事都了解网络安全的重要性是至关重要的。提高对最常见的网络犯罪的认识,例如恶意软件、勒索软件、信息网络钓鱼、诈骗等。查看新闻,对黑客试图窃取数据的新方法保持警惕。提醒组织中的每个人仔细检查他们使用的网络地址、与他们交互的电子邮件地址、他们收到的链接和他们处理的请求。
无论谁对数据泄露负责,都要对其后果负责。因此,确保每个人在保护敏感信息方面都付出同样的努力是至关重要的。
如何保护项目和数据安全
数据泄露是危险的。不管项目有多成功,如果企业失去了客户和利益相关者的信任,这一切都可能付诸东流。处理信息时要保持警惕。
数据安全保护的基础是对数据承载环境的安全保护。因此运营者应依据网络安全等级保护政策和标准要求开展安全建设工作,保证等级保护对象满足相应等级的安全要求。关键信息基础设施运营者还应在等级保护工作基础上开展关键信息基础设施安全保护工作。
根据规要求,重要数据的处理者应当明确数据安全负责人和管理机构,落实数据安全保护责任,建立健全全流程数据安全管理制度,企业开展数据安全教育培训。运营者应根据法律法规要求及组织内部实际情况,充分落实安全管理要求,保证数据安全通过正确、规范、逻辑闭环的数据安全管理体系进行要求和执行。
企业可以根据需求选择适合公司的数据安全工具,例如防火墙、数据库审计、文档加密、杀毒软件等等。企业运用各种技术手段监控和记录运维人员对网络内的服务器、网络设备、安全设备、数据库等设备的操作行为,以便集中报警、及时处理及审计定责。
