公司企業必須進化自身安全實踐，方可跟上不斷變化的技術和相關安全威脅的發展。如果停滯不前，數據泄露的損失有可能是毀滅性的。

波耐蒙研究所《2016數據泄露損失研究》報告指出，每起數據泄露的總損失是400萬美元，每一條包含有敏感或個人身份識別信息(PII)的被盜記錄帶來的損失是158美元。想象一下，數百萬條記錄失竊時，是多么令人崩潰。

這些損失便是公司企業必須選擇最佳安全實踐的原因，通常，這種實踐指的是云的利用。下列十條安全建議，可供公司企業使用基于云的技術時優先考慮。

1. 為敏感文件列個清單

連自己有些什么都不知道，何談找出缺失了哪些東西?保證文件的安全，意味著要做好標記：哪些信息存儲在哪兒，存儲方式是什么，訪問方式有哪些等等。

2. 最小化非必要數據存儲

存儲非必要信息的唯一用處，就是給網絡小偷更多的東西可偷。只需要存儲僅夠公司正常運營所需的數據即可。老客戶的賬單信息和前雇員的社會安全號與你的現有業務運營無關，只會成為網絡小偷的潛在目標。把文件篩一遍，清除掉系統中的過時或非運營關鍵信息。

3. 確保主機托管有物理防護

信息是數字存儲的并不意味著就沒必要使用物理防護。服務器應被保管在上鎖的安全的地點。如果文件存儲在遠程數據中心，該中心應具備《鑒證業務準則公告第16號》(SSAE 16)II類認證和全天候的物理安全。所有數據應在其他地方的額外服務器上有備份。

4. 使用高級加密協議

為最大化數據的安全性，采取所有必要的電子安全預防措施是十分緊迫的。這包括在傳輸時和平時都利用防火墻和SSL/TLS協議對文件進行高級加密。

5. 用多因子身份驗證保證口令安全

一大批數據泄露都是口令使用疏忽的結果。口令應是定制的，且包含有寬泛的配置選擇。建議采用多因子身份驗證結合多次嘗試不成功便鎖定賬戶的方式。

6. 配置行為跟蹤以記錄訪問歷史日志

團隊成員、同事、客戶、承包商，大量人員有可能對特定文件具有訪問權。如果每個訪問者都賦予編輯權限，那么非正確修改的風險是避免不了的了。其他風險還包括惡意清除、蓄意破壞和共享機密信息。

行為跟蹤功能可留下每個用戶訪問文件的相關信息，比如用戶身份、訪問時間、所做修改等。此類文件行為的總結可通過電子郵件或短信即時通報給管理員。

7. 保證最小外部訪問授權

云的最佳益處之一(任何時候、任何地方都可進行訪問)，同時也是其最大風險之一。考慮一下被賦予訪問文件權限的所有人，其中就可能有你連見都沒見過卻手握你最敏感數據訪問權的人。

無論何時對文件賦予外部訪問權，管理員都應該根據賦權角色對權限和控制進行定制。也就是說，每個人都應基于該項目的位置和責任被賦予打開、瀏覽或編輯信息的權限。就像網站設計顧問無權訪問財務信息一樣，某個客戶也不應該看到你正在為別的客戶做所的工作。

8. 限制公共WiFi的無線應用

智能手機、平板和筆記本電腦讓在外辦公變得容易，同時也為安全疏忽開啟了方便之門。這些個人設備經常被用于個人事務，意味著可能會帶來交叉影響，比如從一個設備向其他設備感染病毒或惡意軟件。

另外，如果無線設備被盜或遺失，公司信息就有可能落入他人之手，通信也有可能通過公共WiFi網絡被竊聽。

使用虛擬數據室可以抵消公私混用設備相關的大多數威脅。

9. 培訓并認證員工

未經合適的用戶培訓就授予云訪問權這種事絕對不能發生。應該花時間對新員工進行云安全最佳實踐培訓，甚至可以考慮為所有員工安排安全教育日。

10. 使用《健康保險流通與責任法案》(HIPAA)作為指南

即使沒有身處醫療保健行業，遵循HIPAA設置的隱私指南也不失為保護信息安全和機密的有效方法。使用HIPAA友好的項目管理軟件能幫助確保你的數據收到一流安全協議的保護。

有很多方法可供公司用以讓員工具備保護機密數據和最小化安全風險的能力。隨著網絡攻擊每年帶來4~5千億美元的損失，忽視安全的后果是令人無法承擔的。

遵循以上建議，你的企業會盡可能地在保證安全的情況下盈利。