如果你想了解自己企业的数据面临着多大的攻击风险，请参考由Online Trust Alliance（OTA）发布的2013 Data Protection & Breach Readiness Guide即可。该份年度报告中收集了多个组织的研究和调查结果，包括the Identity Theft Council、the Open Security Foundation、美国Chamber of Commerce、FBI和美国Secret Service等。在Open Security Foundation提供的资料中，全球发生的攻击事件达1478起。根据The Online Trust Alliance总裁和创始人Craig Spiezle的说法，FBI和美国 Secret Service都认为这个数字仅仅是实际数量的10%到20%而已。

　　在本次访谈中，Spiezle谈到了中小企业可以采取的针对数据风险的应对措施。而且，他还谈到了在社交媒体大行其道的情况下，中小企业该如何解决数据隐私的挑战以及为什么要尽可能地控制数据规模。

　　问：是否有中小企业还没有对数据风险做出反应？

　　Craig Spiezle：有60%以上的企业（包括各种规模）没有完整的应对规划甚至根本没有任何计划存在。而在已经制定的规划（无论是财富500强、100强或者中小企业）中，通常不会进行及时的更新。

　　有效的数据防护规划应该与时俱进。无论是数据保护的内涵、云计算的使用还是数据所服务的业务目标，当今时代的变化是如此的迅速。如果有半年时间你没有更新规划，那肯定就会变得有缺陷或过时–这基本和没有规划一样糟糕。比如，半年前你切换了电子邮件服务提供商，把数据放到亚马逊的云存储中并且包含了信用卡信息。如果你的规划没有跟上这些变化，那么在受到攻击时可能都无法定位问题所在，比如数据的确切位置和受损害的程度。

　　因此，在事故响应规划中，你必须要用相应的机制来确保能跟上各种变化，比如数据的使用、收集和后端流程等。

　　问：该由谁来确保这一点呢？

　　Speizle：这就需要有个明确的责任人。但是，仅由IT来承担责任是行不通的。营销、IT、人力乃至财务部门都应该肩负一定的责任。应该由这些部门组建联合的管理团队，然后选定其中一人行使领导权。管理团队应该一季度或者半年碰一次头，审视并梳理规划。如果你身处医疗或者其他受到严格监管的行业，则还应该把法务部门纳入进来。总之，关键是要认识到这种规划的全局性。

　　问：针对中小企业，有没有什么经济实用的数据防护方法？

　　Spiezle：首先，要搞清楚当前日常收集的数据是否还真正为企业所用。如果能尽可能减小数据的规模，防护的工作压力就会小许多。其次是确认一些数据的基本情况。通常容易被忽视的一件事就是数据从何处流入企业的。数据是否会再次输出到企业外部？数据是否会流到厂商处——如果是的话，你是怎样进行防护和加密的？关键就是确定数据风险的存在、采取手段减小数据规模、对数据进行加密并且对数据的访问进行管控。

　　在中小企业中常见的一种情况是员工可以较为随意地访问服务和数据。数据应该放在特定的服务器上，而且仅有工作需要的人才能访问之。我们发现，无论企业的规模如何，员工角色的变更都不会引发访问权限的变更。而且访问点的增多就意味着风险的上升。之所以要每季度做一次审查，就是为了及时更新员工的访问权限。对于必要的外部资源，也要准确把握哪些人可以进行访问。

　　问：为了提升用户体验或者将数据本身作为一种产品，企业应该多收集数据。但是这同上面提到的减小数据规模似乎有点矛盾，中小企业该如何在两者之间做出平衡？

　　Spiezle：上周有个公司的数据出了问题– 10年前的信用卡信息，但是没有加密。信用卡一般就是两年的寿命，何必要保存那么旧的数据呢？诚然，如果没有存储相应数据，当要求用户提供信用卡信息时会给双方都带来不便。但是，虽然有悖于以用户为中心的理念，但这种措施的确能带来更高的安全性。

　　为了平衡用户体验和数据安全，可以收集部分的生日信息，比如月份–这就是你所需的部分信息，并可以依次来向客户发送提醒消息。营销部门仍然能获得其所需的信息，但是数据规模和相应风险都受到了控制。

　　问：随着越来越多的员工访问云服务，中小企业该如何在规划中进行应对？

　　Spiezle：毫无疑问，这种行为可以让企业更加灵活敏捷，但是一定要重视其中蕴含的风险。除了用户信息之外，还要注意诸如战略规划等企业重要信息的外泄。数据事故不仅会影响客户，还会给员工和商业伙伴带来损害。对于中小企业来说，重新建立信任关系和品牌形象是难度较大的。

　　问：社交媒体对中小企业来说是非常有用的，但是是否会带来新的数据隐私问题？

　　Spiezle：尽管有相应的政策，员工们还是经常会将企业机密信息外泄。更致命的问题在于密码的泄露。如果黑客知道了你的Facebook密码，他们会用其去尝试你的Twitter或其他社交平台–因为人们通常会设置同样的密码。

　　人们还会在社交媒体上透露过多的信息，以致于暴露在高风险的钓鱼攻击之下。如果对你了解得足够多，我就可以虚构一个人物取得你的信任并同我分享信息。

　　问：年轻一代倾向于在社交平台上公开信息，而他们在员工和客户中的比例越来越高。这是否意味着对隐私的定义正在变化？

　　Spiezle：这的确是关于数据隐私问题的代沟所在，但是我可以告诉你，我自己还在读大学的孩子们已经改变这种公开信息的习惯，因为他们在实习中感受到了企业对于数据隐私和安全的重视。无论什么规模的企业，疏忽大意都会推高成本损害业务。如果需要用一个礼拜的时间来解决网站瘫痪的问题，对任何企业来说都是一个重大事故。

　　问：现在数据受损的情况是不是越来越严重？由于通过各种设备和服务而获取的数据规模日益庞大，受损现象是否反而容易被忽视？

　　Spiezle：根据报告显示，去年此类情况有34%的上升。但是，其实大多数的故障并未被披露出来。根据FBI和Secret Service的估算，露出冰山的只是10%到20%而已。

　　很多事故并不能得到及时的发现，往往要在半年到一年之后才会暴露出来。因此，对于小企业来说，至少要保留一年以上的数据日志。尽管这同先前所说的要尽量控制数据规模有所矛盾，但是就追溯事故而言，你的确需要保留一定量的日志。