数据安全是一个多方面的专业领域，需要组织的CIO、IT部门以及涉及组织数据的几乎所有业务领域的广泛参与。随着网络犯罪和数据泄露的发生率不断增加，确保客户数据的安全至关重要。疏忽或对安全法规的误解可能会损害客户的敏感信息和组织的声誉。

数据管理

数据安全的一个关键组成部分是全面了解贵公司负责哪些数据。利益相关者应大力投资于围绕数据管理的流程，例如DAMA提供的流程。DAMA大量参与了DMBoK的出版。DMBoK定义了十个他们认为是信息和数据管理核心的知识领域；

DAMA-DMBoK并不声称是数据管理的完整权威，但它确实试图为数据管理功能、术语和最佳实践提供集中资源。关键决策者和数据管理专家至少应该精通核心功能知识领域，以便为您的组织提供基础，在成功的数据管理实践中建立业务能力。

此外，员工应熟悉数据保护指南以及相关法律法规以实施到他们的工作流程中。联邦和州法律，例如SOX、HIPAA、FISMA和GLB，可能会从您的组织中引出有关数据管理的特定合规性要求。确保您的团队了解特定数据的存储内容、方式和位置，同时注意您的组织对强大数据管理最佳实践和信息安全的承诺。

密码安全和2FA

密码安全可能是最重要但也是最容易被忽视的数据安全领域之一。密码是您的组织抵御未经授权访问的第一道防线，需要唯一的字符序列才能访问设备、服务、资源或文档。密码对于用户、用户团队或组织（在Wi-Fi网络的情况下）可以是唯一的。安全密码的标志包括最小长度、缺乏基于字典的措辞以及密码的频繁强制轮换。

除了修改复杂性要求外，NIST已经建议组织实施一种双因素身份验证形式已经有一段时间了。

身份验证依赖于某些“因素”；

双重身份验证(2FA)或多重身份验证(MFA)是上述身份验证因素中的两个或多个的组合。在其初期，2FA是使用标准SMS实现的，这是一种通过OTA文本消息发送一次性密码的高度不安全的方法。NIST在特别出版物800-63B中正式弃用了此消息。Duo、OneLogin、Twilio、Google和Microsoft等公司提供实施安全、符合NIST的多因素身份验证框架的应用程序和服务。

几十年来，私营企业的某些部门一直受美国有关数据安全的特定立法的约束。由于所处理数据的敏感性，金融、医疗保健和教育领域的企业尤其受到关注。从社会安全号码和地址，到账户信息和获取数千亿美元的资金，这些行业掌握着全球金融健康的关键。因此，立法者和监管机构制定了有关保护这些数据安全的具体立法。

特定的美国立法，包括HIPAA、公平信用报告法(FCRA)和电子通信隐私法(ECPA))已由美国政府建立此类监督和监管。在欧洲，欧盟通用数据保护条例(GDPR)适用于更广泛的经济领域。这些特定的法律和法规范围广泛，并管理着如何获取、保留和使用客户数据。

隐私声明

如今，仅仅为您的网站起草一份通用的隐私声明是不够的。相反，组织需要确保其隐私声明深入、合乎逻辑且易于客户理解。有效的隐私声明应清楚地描述您的企业从客户那里收集的私人信息、这些信息如何使用或与任何第三方组织共享，以及数据的存储时间。随时了解客户数据的保留时间和使用方式。如果客户决定不希望他们的信息存储在您的站点上，您必须确保并传达相应的程序，允许他们从您公司的服务器中删除他们的数据。

如果不深入了解数据管理最佳实践，也不了解在当前基础架构中要评估哪些指标，组织可能会成为罚款、法律制裁以及更糟糕的是客户数据受损的牺牲品。