很可能你小时候有日记或日记。也许你只写了一两个星期，但它是一个伟大的倾听者。这是一个完美的地方，可以把所有让你兴奋的事情都列出来——但是妈妈不会让我睡过头的！-记下你所有的青春期问题。[来源]很可能你在日记上有锁。你把它藏在床垫下面。你甚至可以用暗号或隐形墨水书写，或者换个名字来隐藏你内心深处最黑暗的想法。因为如果有人进入其中，读到你的想法，你会感到尴尬，甚至可能会有严重的麻烦。你对你的日记所做的一切——隐藏它，锁上它，使用密码——这就是所有的数据安全。青少年数据安全，当然。但它遵循的原则与当今公司在风险更大、更高的情况下保持数据安全所遵循的原则相同。但是，由于您不能只将业务数据锁定并小心地存储在枕头下，因此我们制作了这篇入门文章，让您思考企业界数据安全的定义，以及它对您的团队今天意味着什么。数据安全意味着什么？数据安全是指保护数据免受未经授权的访问、使用、更改、泄露和销毁[来源]数据安全的定义很宽泛，但本质上是指保护数据不受未经授权的访问、使用、更改、泄露和销毁，包括网络安全、物理安全和文件安全。数据安全远远不是一个单一、统一的过程，它涉及到一系列广泛而复杂的问题的答案，这些问题在试图保护信息安全时可能会出现。数据安全可以包括对物理位置的保护（通过锁和摄像机来防止入侵者），也可以包括保护措施，如密码保护和双因素身份验证（2FA）。[来源]除了密码，2FA要求用户输入第二个时间敏感的代码，发送到他们的设备，以获得额外的保护层。如果一个黑客猜到了密码，她或他还必须准备好你的物理设备来恢复你的代码并进入网站。数据安全的定义可以涉及到尝试新功能，比如苹果针对移动设备的FaceID，或者只是升级旧系统来修补软件漏洞。对于个人来说，数据安全可以采取预防措施，比如定期备份设备，创建冗长复杂的密码（黑客很难猜到），甚至可以采取日常措施，比如把电脑放在背包里，而不是放在打开的袋子里。但对于公司来说，数据安全往往需要更多的思考。公司的关键数据安全考虑因素对于公司来说，在实施新的数据安全政策和程序之前，还需要考虑其他标准，包括：你们公司的规模有多大？你们公司在哪里？（您是在一个物理位置还是分散在一个远程团队中？）你的行业是什么？你在保护什么设备？（台式机、平板电脑、移动设备？）谁需要访问哪些数据？您的内部团队在安全方面可以花费多少时间和精力？您目前的数据安全专业知识水平如何？将数据安全定义为一系列保护敏感信息（如来自新客户的个人数据）的层，将帮助您了解如何更好地增强整个组织不受未经授权用户的攻击。您可以采取许多不同的措施来保护和保护公司的数字信息，这些措施都属于"数据安全"的保护伞下。但是，与其采用DIY或零碎的方法，不如在考虑了您的需求后采取更全面的行动，以确保您不会错过关键部分。数据安全的最佳实践是什么？有很多数据安全的综合解决方案。这里所说的并不是要一步一步地分解你需要做的一切来创建完美的数据安全；它是一个重量级的概述，它为数据安全创造了良好的基础。对于您的企业来说，最佳实践是什么样的取决于许多因素，例如规模、行业、位置以及现有的工具和策略。保护信息安全通过限制对敏感文档的访问来管理您的身份。有时称为数据分类，根据用户ID管理谁可以看到什么是一个很好的方法，以保持敏感信息仅限于那些需要查看的人。这限制了当某人的用户名或登录信息被盗时可能造成的损害。像Auth0这样的IAM公司被设置为根据用户处理不同的权限，这是一个好的数据安全策略的关键点。加密是我们保持数据安全的最佳工具之一，但它不是一个整体。你不能就这样决定加密你所有的数据然后就结束了——这不是它的工作原理。通常，您用于业务的软件工具会提供某种加密，这是一个很好的起点。例如，您的信息备份服务应该能够为您加密这些数据。您还应该确保加密传输，以便为您发送的任何信息添加另一层安全性。[来源]把加密看作是把你的普通数据转换成一个只有你能识别的秘密代码，而不是坏人。不过，我们不建议使用历史文档作为加密密钥。为流动劳动力做好准备。随着移动设备占领了工作场所，您的安全威胁也在增加。你需要一个移动安全计划来保证每个人都在排队。这应该包括对员工的强制协议，比如在工作设备上远离公共Wi-Fi，在移动设备上安装公司强制的防病毒软件。在源位置保护用户数据。当客户和员工第一次（或重复登录）登录时，您可以使用诸如社交登录之类的安全身份验证实践来验证和保护他们的信息。这不仅简化了流程，降低了流失的风险，而且有助于将所有这些敏感数据组织在一个位置，而不是在多个容易丢失的数据库和电子表格中。为威胁做准备测试你的系统有多好。最好的防御措施是进攻，而安全数据恢复中的最佳进攻是确保您在第一时间不会丢失数据。要么创建一个内部团队来对你的系统进行压力测试，要么找一个公司以外的人来做，但不要把你的安全性留给机会。教育你的员工。常见的数据安全攻击，如鱼叉式网络钓鱼电子邮件和USB陷阱，针对的是不知道风险并放松警惕的员工。像《袋熊安全》（Wombat Security）或实施励志在线学习（empired eLearning）高管培训之类的日常提示，可以大大降低这些风险。制定事故管理计划。当你发现你公司的安全受到威胁时，你最不想做的就是惊慌失措。有一个全面的方案可以降低血压，并限制所造成的损害。是的，它需要知道该怎么做，但你也应该为管理制定指导方针，让员工知道，以及下一步的恢复步骤。（请参阅Reddit如何处理他们最近的违规行为。）制定一个安全的数据恢复计划，以防损坏或不愉快的情况下，您需要的东西已被删除或泄露。对于许多团队来说，这意味着要有一个定期更新的数据备份副本。备份本身必须受到保护，并且应该与其他数据分开。删除信息知道如何和何时放手。当需要处理信息时，您需要知道如何正确地处理它。当你不得不把敏感信息丢在纸上时，你就把它撕碎了。在处理信用卡之前，你把信用卡剪开，在支票上写上"作废"字样。数字数据也不例外。确保当你擦去信息时，它真的已经消失了，而不是在某个地方徘徊，它会回来咬你。别忘了物理拷贝。如果你的任何备份都是纸质的，存储在U盘上，是X光片、缩微胶片或底片，或者任何其他物理的完全独立于数字系统的东西，不要忘记它们。当你删除数字信息时，要确保这个过程的一部分是重复检查信息是否有物理对应物，如果有，以实物方式销毁它。合规风险（检查）"有一些规则和法规规定了您应该如何处理业务数据，而这些规则和法规可以帮助您降低风险。"在推特上留言有一些规则和法规规定了您应该如何处理业务数据，而不能做什么，这些规则和法规可以帮助您降低风险。尤其是当你处理敏感信息时，看看这些法律和指导方针会帮助你更好地了解什么是适合你的公司的。例如，医疗领域的公司很可能需要遵循HIPAA要求。您还可以通过遵循开放标准来降低法规遵从性风险。以身份管理为例，它有供每个人遵循的指导方针，其明确目标是尽可能安全和负责任。例如，Auth0是OpenID Connect认证的，这意味着我们遵循官方的OpenID规范，并且已经完成了确保数据安全的工作。当然，每个人都在谈论GDPR和相关法律，比如加州消费者隐私法案（CCPA）。这些关于数据隐私和共享的要点将有助于拓宽和深化现有协议。为确保您面临的风险最小，请彻底调查适用于您公司的法律，并