有有效的网络安全实践吗？请注意: 联邦贸易委员会正在监视你。

在针对医疗测试实验室LabMD (现已倒闭) 的7月裁决之后，联邦贸易委员会已成为美国企业网络安全实践的中央监管者。联邦贸易委员会 (FTC) 的任务是对可能损害消费者的 “不公平或欺骗性” 商业行为采取行动，这意味着任何处理 (并可能处理不当) 消费者数据的企业都有可能受到该组织的审查。

这几乎是当今的所有业务。

一些背景: 该委员会推翻了行政法法官的裁决，发现针对医生的临床实验室LabMD未能保护消费者的敏感个人和医疗信息。从2001 2014年，LabMD为超过750,000名患者收集了此信息。

根据该裁决，该裁决援引了缺乏 “甚至基本的预防措施来保护其计算机系统上维护的敏感消费者信息”，似乎数据泄露造成的实际损害并不一定需要证明，如果潜在的损害存在的话。

该裁决向企业主发出了明确而发人深省的信号: 您必须做出显著的、可证明的努力来保护自己免受数据泄露或面对后果。

一瞥即将发生的事情

FTC裁定: “LabMD的安全做法是不合理的，甚至缺乏基本的预防措施来保护其计算机系统上维护的敏感消费者信息。”“除其他事项外，它未能使用入侵检测系统或文件完整性监控; 忽略了监视穿过其防火墙的流量; 基本上没有向员工提供数据安全培训; 并且从未删除其收集的任何消费者数据。”

对于那些似乎有无穷无尽的问题要解决的小企业主来说，花时间专注于数据安全最佳实践有时很难证明是合理的。但是必须这样做: FTC和其他政府实体在未来几年只会更加关注数据安全和消费者隐私。数据完整性必须成为开展业务的核心方面 (而不是可以忽略的次要细节)。

考虑到这一点，小企业主应该意识到一些关于数据安全的常见误解，以及他们应该依靠的最佳实践来解决这些错误:

误解1: 数据安全是一个 “大生意” 的问题。

数量惊人的小企业主将数据安全视为他们不需要担心的事情。你会听到业主说，“没有人对我们拥有的数据感兴趣。我们不是索尼，也不是政府机构。”

但事实是，网络犯罪分子最肯定对您的数据感兴趣，根据福克斯商业公司 (Fox Business) 的说法，2015在全球范围内的43% 攻击都是针对员工少于250名的小企业。

最重要的是，勒索软件攻击的盛行意味着您的数据对其他人是否重要不再重要。如果这对你 -- 主人 -- 很重要，黑客可以拿走它，强迫你支付大笔钱来取回它。

作为小型企业所有者，您必须认为拥有托管数据备份系统至关重要。这不会阻止攻击，但是如果确实发生了攻击，则可以显着减轻对您的业务的损害，尤其是在勒索软件攻击的情况下。

误解2号: 所有威胁的一种解决方案

小企业主尤其容易相信单一解决方案将抵御所有可能的威胁。安全性被更好地视为托管进程。

简单地拥有一些遗留的IT解决方案不应让您产生错误的安全感，并避免提出重要的问题，包括: 我们是通过安全修补来解决漏洞吗？我们是否会定期收到有关该活动的报告，以便在发生违规情况时将其记录在案，并且我们可以有效地响应审核？我们的防火墙是否正在积极管理？

您需要建立一个托管安全系统，该系统包括有关安全措施，潜在威胁和更新的定期报告。如果您需要更多信息，请对第三方托管的安全服务提供商进行一些研究，这些提供商可以根据您的需求提供内部部署和远程解决方案。

误解3号: 网络安全培训是针对IT人员的。

数据安全不仅仅是它的责任 -- 它需要成为所有员工的优先事项。例如，如果只有一名员工成为网络钓鱼电子邮件的受害者，您的整个网络可能会受到损害。

威胁格局在不断变化。实施员工培训计划，并能够证明安全应该是所有员工的优先事项，并且变得越来越重要。投资不定期的培训会议，实施加强信息共享的政策。

误解第4号: 价格不对。

小企业主经常看着安全解决方案说，“这听起来很昂贵。”实际上，这些服务的成本远非令人望而却步，并且随着企业及其需求的增长，服务可以扩展。

更重要的是，放弃安全解决方案意味着您冒着随之而来的更高价格标签的风险。卡巴斯基实验室的报告表明，小型企业平均仅从一次数据泄露中恢复花费38,000美元。

在进行投资之前，请对您当前的安全措施进行全面评估。安全审核将使您对自己的立场有一个很好的了解，并使您意识到任何严重的漏洞。

像任何不幸的事件一样，数据泄露也可能发生在任何企业身上 -- 不仅仅是那些有大牌的企业。联邦贸易委员会 (FTC) 在LabMD中的裁决表明，政府如何对企业主承担越来越多的责任，以保护其客户数据。

如果您是一家小型企业，那么当发生数据泄露时，仅声称 “我不知道” 将不再足够。无论您的业务规模或行业如何，都将数据安全作为重中之重。