企业应当高度重视数据安全还有另一个原因——合规性。澳大利亚的《数据泄露通报制度》（Notifiable Data Breaches (NDB) legislation）已于今年2月正式生效，而在欧洲开展业务的公司还必须遵循欧盟的《一般数据保护条例》（GDPR），后者于2018年5月生效。

澳大利亚新的数据泄露通报计划强制要求特定的组织机构必须披露数据泄露事件。

澳大利亚信息专员办公室（OAIC）表示：

《数据泄露通报制度》适用于所有年营业收入超过300万澳元的组织机构，以及特定类型的公司，如从事个人信息交易的公司。不过，即便在该制度适用范围之外的公司或机构，也应该采取最为严格的数据安全措施，让企业能够及时发现数据泄露事件并快速应对，从而尽可能减少对企业及其客户的潜在损害。

然而，要确保数据安全并非易事。需要应对的第一个挑战就是识别公司持有的敏感数据及其存储位置。

公司内部有多少电子表格含有敏感的业务或客户数据？

如何才能识别公司内部的敏感数据？

云服务的日益普及同样会导致敏感数据的存储位置难以确定。来自思科（Cisco）以及Skyhigh等科技公司的云访问安全代理（CASB）软件可以帮助客户确定大型组织机构中有谁使用了哪些云服务。

尽管这些工具非常有用，但它们仅仅是能够对组织内部每个人使用的每台电脑和设备进行全面的数据审计，并非完整的解决方案。

一旦找到了公司的敏感数据，你就可以寻找合适的解决方案来确保企业数据安全，但这绝非易事，因为有太多可能发生数据泄露的渠道。除了恶意软件和其他外部威胁，笔记本以及其他设备还可能会丢失或被盗。电子邮件，尤其是较长的电子邮件链，则是数据泄露的另一个常见来源。

技术在这方面同样可以起到辅助作用。

从海量的安全解决方案中选出合适的方案并非易事，但澳大利亚国防情报局（Australian Signals Directorate）高度重视的基本八条（Essential Eight）网络安全策略将对组织数据的保护大有助益。对于微型企业和个体经营者，我们的隐私保护建议同样有助于确保你及客户的数据安全。

当然，技术同样不是完整的解决方案。正如每位网络安全专家建议的那样，数据安全不再只是一项IT职能，而应是持续进行的计划，涉及组织内部的战略、流程、政策以及员工培训，从而尽量降低数据泄露的风险，并最大程度地提升快速应对数据泄露事件的能力。

Facebook与Cambridge Analytica的丑闻对于这家社交媒体巨头未必会有持续的影响，但大多数企业不具备能够经受住这种程度打击的规模和市场地位，因此，这是一个有关不该如何使用（或允许使用）客户数据的很好的教训。至于你自己的隐私，你必须检查自己的Facebook隐私设置，Facebook为了方便用户检查自己的隐私设置，也在近期对该模块进行了更新。

将数据分析功能用作商业工具确实极具诱惑力，但应记住这些数据是来自于信任公司的客户，并且这种信任一旦失去，就很难再重新获得。