非营利组织工作人员减轻数据风险的3个基本要素[ Auth0 Docs 在几分钟内实现认证](https://auth0.

[

Auth0 Docs

在几分钟内实现认证](auth0.com/docs)
OAuth2和OpenID Connect。专业指南

获取免费电子书!

作为一个任务驱动型组织的领导者，你知道所有的非营利组织、非政府组织和慈善组织都依靠每一个利益相关者来帮助实现他们的使命和计划。他们都有一个共同的工具？

数据。

不管这些数据是被积极使用，还是在等待影响一个关键的决定；它总是具有可衡量的价值。

它为非营利组织的几乎所有业务功能提供动力；并包含从组织计划和财务到组织生态系统中每个人的财务、身份和个人信息的关键信息。在设备不全、操作不当、未经培训或意图不良的情况下，对这些数据的错误处理会对组织及其利益相关者造成不可预知的损害。

数据保护--基本原理

尽管非营利组织的数据保护和安全责任可能落在指定的个人或团队身上，但即使他们也无法监控整个组织的利益相关者每天对其数据采取的成千上万的行动。

当涉及到保持数据安全时，最好的防御措施是一个受过教育和有安全意识的员工队伍。然而，非营利组织的员工并不总是这样，他们往往缺乏在保护数据方面发挥更积极作用所需的一般意识和持续参与。让每个人都参与到建立一个个人责任有助于组织的网络福利的环境中来是至关重要的。

那么，什么是可以赋予你的员工权力的三个基本要素呢？

基本原则1：定期沟通政策和程序

作为员工入职的一部分，审查整个组织的任何数据保护和安全政策和程序。所有的贡献者都应该知道对他们的期望是什么。领导者应该确保这些信息是最新的，所有的员工和任何非内部人士都被告知，并确认他们已经审查了你的政策和程序，因为它们被提供和更新。

⇒ 不确定从哪里开始创建数据保护和安全的政策和程序，或希望审查你的组织已经到位的内容？

看看CISA的Cyber Essentials，它是在你的组织内建立网络准备文化的优秀资源，以及CISA的网络安全框架；它是帮助组织理解和改善其网络安全风险管理的黄金标准。

个人贡献者应该在入职时以及在他们在贵组织的整个任期内回顾这些信息。如果不是这样，那就问吧。每个人都在保持数据保护和安全方面发挥着作用。如果你是组织中某个（或每个）层面的个人贡献者，你就是最好的防线。审查安全政策和程序，并经常更新，至少每年两次。

基本原则2：确保合规

PII（个人身份信息）、GDPR（通用数据保护条例）、HIPAA（健康保险可携性和责任法案）、CCPA（加州消费者隐私法案）和PCI DSS（支付卡行业数据安全标准）--只是非营利组织可能遇到并负责遵守的关于数据使用、保护和安全合规的众多法规和标准中的一部分。更重要的是，这些规则和法规差别很大。

为了让你了解世界各地的保护和隐私法律有多么庞大，请查看全球律师事务所DLA Piper的这份互动地图。

所有支持你的组织任务的员工和供应商都应该了解关于他们所接触和使用的数据的合规法规和标准。保持最新的法规变化是最重要的。如果不能保持最新并遵守这些法规和法律，可能会导致对非营利组织的重罚和/或法律行动。

如果你的组织依赖可以访问你的组织的数据的供应商，要求他们提供最新的隐私和安全政策以及审计报告。审查它们，并要求澄清任何可能不清楚的问题。了解他们为保护和保障你的潜在敏感数据所采取的措施是很重要的。

例如，Okta在线属性中的一个产品单元Auth0的访问者可以通过我们在这里提供的信息了解更多关于我们的信任和合规政策： https://www.okta.com/trustandcompliance

基本原则3：访问责任制

远程工作，下班工作，还是两者的某种变化？为了访问工作所需的数据，需要连接到一个网络和登录凭证。无论你在非营利组织中的角色是什么，你都可以采取一些基本措施来保障对非营利组织数据的访问。

当连接时，确保网络是私人的和安全的（不建议使用公共wifi）。
使用独特的、随机的密码，最好是由密码管理器创建的、字符数最长的密码（最好至少有16个字符），这将有助于确保你的登录凭证不容易被猜到。
在你所有重要的工作和个人账户上启用多因素认证。多因素认证，简称MFA，可以减少因凭证被盗而遭受网络攻击的可能性。MFA的工作原理是，当他们使用用户名和密码登录时，需要额外的验证信息（称为因素），提供进一步的身份证明。
避免与任何人以任何形式（书面、电子、口头等）分享你的账户凭证信息。
当涉及到谁可以根据个人角色和需要访问组织的各级数据时，领导者应执行最小特权原则。这应该经常审查，并在人员或技术发生变化时进行更新

⇒ 最小特权原则是一个安全概念，它将用户的访问权限制在仅为完成其工作所需的范围内。

这些只是在整个组织的员工层面上减轻非营利组织的数据风险的三个基本要素。所有的员工都可以从我们汇编的有用信息中受益，我们创建了Auth0的资源，即你的个人网络安全清单。工作场所版。该清单涵盖了基本的工作场所网络卫生、个人网络安全和高级的工作场所网络安全行动，每个工作人员都可以遵循。这是一个很好的地方，可以开始你的组织的旅程，在2022年及以后更加安全和放心。

关于Auth0

Auth0身份识别平台是Okta的一个产品单元，采用现代的身份识别方法，使企业能够为任何用户提供对任何应用程序的安全访问。Auth0是一个高度可定制的平台，开发团队想要多简单就有多简单，需要多灵活就有多灵活。Auth0每月保障数十亿次的登录交易，提供便利、隐私和安全，使客户能够专注于创新。欲了解更多信息，请访问auth0.com。