5. 防患于未然
谁都不想遭遇数据泄密事件,专门提供泄密后分析服务和软件工具的Mandiant公司的首席执行官Kevin Mandia忠告,CIO应该对泄密事件发生后的对策有所准备。一旦果真发生了信息泄漏,每家公司都可以采取措施来减轻造成的影响。他说,遗憾的是,大多数公司等到为时已晚的时候,才测试甚至制订响应策略。
Mandia说,系统应记下数据流动情况,包括谁在什么时候访问数据、哪些应用软件使用了这些数据,但鲜有公司这么做。他说: “我们看到的最常见错误就是,公司请我们过去,我们首先问的是有没有任何相关文档。对方往往会提供大量数据,却没有正式的文档。技术人员在这方面做得很差,律师也没有要求这样做。所以几乎无一例外的是,我们过去问公司出了什么情况,对方根本答不上来。”
6. 泄密后的保密工作
许多公司没有任命某个领导人或者小组来负责响应安全事件、查找重要细节,结果也大大限制了响应事件的能力。在许多公司,这成了推卸责任的借口; 而另一些公司让太多的人参与泄密事件响应工作,结果这么多的人反而妨碍了相关的调查工作。
Mandia说: “有些公司让太多的人参与决策过程。我们过去后,得向12个人说明情况,但实际上其中有10个人并没必要参加。”
另一个常见问题是,许多公司通常没有针对泄密事件进行保密。这样一来,员工听到风声后,会立即设法保护自身利益,从而加大了调查的难度。
Mandia表示,如果事件牵涉到内部人员,他们知道行踪败露后,可能会立即清理掉一些证据(而这些证据原本可以帮助调查人员查明真相),这样就为确定责任带来很大麻烦。
7. 装好安全补丁并不等于高枕无忧
随着涉及IT和数据安全人士的法规措施越来越多,许多公司投入大笔资金用于技术性解决方案,以堵住漏洞。但它们通常以为,采用某项技术或者符合某个方面的法规就能高枕无忧了,事实并非如此。
Security Incite公司的分析师Mike Rothman说: “我看到的最主要问题就是,人们以为采取部署反病毒软件、打上补丁和运行漏洞扫描之类的简单措施后,就真正符合要求了。他们并没有从风险管理的角度来看待问题。”
不少公司审查了数量有限的安全补丁,得到及格分数后就认为再也不需要加强工作。Rothman说: “人们常常以为,一旦进行了积极审查,就大功告成了。之后,黑客们会证明其实并非如此。”
8. 安全问题不能”一视同仁“
Rothman表示,公司常常会掉入另一个与法规遵从有关的安全陷阱: 不管IT系统对公司的安全和成功具有的重要性如何,一律投入同样的精力或者费用来保护。
他说: “有些人犯的错误就是,对所有安全问题‘一视同仁’; 为保护只有五人使用的旧应用系统所投入的时间和资金与为保护所有客户使用的在线应用系统所投入的一样多。”
这种做法浪费了资金,一旦预算花光,以后还会留下更严重的问题。Rothman说: “安全人员常常不知道如何优先处理重要问题。他们应当关注假设具体某个方面出现泄密会有什么样的后果,然后再考虑如何设定开支。”
9. 放弃不该保存的数据
另一种常见情形给安全人士和法规遵从人士带来了灾难,那就是: 许多处理信用卡和借记卡的公司对保存账户信息的交易日志系统不设防,任由这些交易日志开着,这会导致客户数据泄密。
Roop说: “这些被无意识保存下来的数据可用来伪造信用卡,被黑客或者不怀好意的员工所利用。”Roop说,连没有收集信用卡数据的公司也要确保只保存现阶段开展业务所需的信息。他忠告,如果没有保存信息的明确需要、却保留了可能被攻击者利用的信息,那是自找苦吃。如果数据非要保存,应该确保为此制订了保护措施。 |
