你造吗？90%的数据泄漏是可以避免的_最新动态_新闻资讯_程序员俱乐部

　　英文原文：Over 90 percent of data breaches in first half of 2014 were preventable

　　根据 Online Trust Alliance，在 2014 年上半年中，如果企业重新考虑其战略风险，那么有超过 90% 的数据泄漏本是可以避免的。

　　Online Trust Alliance（OTA）是一个非盈利的、面向在线提高信任以及帮助企业最佳实践和风险评估的机构，并发布了 2015 年数据保护最佳实践和风险评估指南。该机构称，在去年的 1 月到 6 月期间，涉及到个人身份信息（PII）的丢失的数据泄漏问题，只有 40% 是由外部入侵引起的，而 29% 的只是疏忽或员工恶意造成的。

　　在 OTA 风险评估指南中指出，现代企业不仅要自问自己的安全实践是否达到标准，同时也要判断第三方供应商是否会对安全构成威胁。

　　企业需要自问的一些问题：

• 你了解国际和当地的监管要求以及基于客户或消费者的相关业务隐私指令吗？
• 你知道你所维护的客户的具体数据吗？数据存储、维护和归档的位置在哪里（包括供应商和第三方/云服务提供的商店或过程）？
• 在数据泄漏期间，你准备好如何与员工、客户、股东以及媒体沟通了吗？
• 你会将可以帮助确定违反根源的数据反馈给供应商吗？
• ……

　　OTA 分析上千个涉及 PII 泄漏问题指出，如果坚持下面所列出的实践，那么 2014 年诸如名人照片泄漏等问题可能不会发生。

1. 实施有效的密码管理政策；
2. 让所有用户账户运行最低权限和最低访问级别；
3. 通过部署多层防火墙保护、杀毒软件来支持客户端设备，并确保禁用默认的本地共享文件夹；
4. 定期进行渗透测试和漏洞扫描；
5. 对所有进出的邮件进行电子邮箱验证；
6. 实施一个移动设备管理系统；
7. 实时监控公司网络基础设施；
8. 部署 Web 应用和防火墙以检测并防止常见的网络攻击；
9. 只允许授权的设备连接到无线网络；
10. 实施 AOSSL（安全套接字层）来保护服务器；
11. 多频率检查服务器证书；
12. 开发、测试和完善数据泄漏的响应计划。

　　企业忙于解决不断增加的风险和威胁，往往无法采用基本的安全知识。而 OTA 发布关于数据隐私的指南和最佳实践将为企业提供可操作的建议。当结合其他管理时，这些建议可以帮助企业预防、检测、控制和纠正数据泄漏。借此也希望 2015 年不会出现可避免的数据泄漏。