第二页
接下来的24小时
确定了泄露数据,接下来面临的问题就是“这会对公司会带来什么影响,以及谁有可能对此负责,是否需要报告此次事件。”要不要报告源于好几个因素,并不只是取决于什么样的数据泄露。
“在有保密部门的公司,报告的事宜始终是一个问题,因为此事会使客户和股东之间的信任关系会丢掉。另一方面,你有义务去关注它,如果你弄丢了你所持有的一份个人数据,你必须非常迅速地公开它。”TelecityGroup的Donson这样说。他在许多部门,如国家高科技犯罪部、国家犯罪组和计算机犯罪部工作了27年时间,另外在威斯敏斯特大学还教授计算机法学和信息安全。
Donson说在他的经验看来,许多不包括私人数据的数据泄露并没有被报告。他说:“我想有许多数据不是私人的,但也没有去报告。”
然而,法律执行中介显然迫切希望公司报告任何类型的数据泄露——不管是不是受到保护的数据——因为它对数据信息收集流程有极大帮助,Donson这样认为。而且把漏洞报告给警察也不等于它就公开化了。“我们已经签署了反泄露协议,所以我们这样对人们说:‘报告给我们吧,即便你不想采取任何行动。’”Donson说,“如果公司不希望我们采取任何行动,我们是不会行动的。”
City法律公司SpeechlyBirchamLLP的高级财产、技术和商业运营的总管RobertBond说:“这种法律的缺失并不是忽略适时的犯罪管理实践的理由。保险行业的领军人物如Hiscox和AIG都坚持认为,如果商业需要保险,数据丢失政策和程序就是强制性的。”
一个星期之后
在最初的灭火工作结束以后,注意力会不可避免地转向“什么出问题了”。
并不仅仅是疏忽,许多近期的数据泄露事件都源于对员工培训的基本缺失——回顾HMRC事件得出的结论之一。“我们一次又一次地发现员工无能力处理机密文件。这说明不是技术而是人的原因产生了错误。”Firebrand培训的安全总管RichardMillett说道。
除了培训,公司需要思考保证IT安全的其他基本方法,并考虑发展防边缘化。例如Jericho论坛这样的CSO团体所支持的方法基于这样的考虑:不是试图把公司的IT资产都保护起来,而是关注保护最重要的元素。
“防边缘化策略能让我们朝着业务运转的方向适应安全机制,而不是扔出许多条条框框。”渣打银行的信息安全总管兼Jericho论坛成员JohnMeakin说。
然而,所有的专家都一致认为,最好的方法首先是让系统能够防止数据泄露或被窃取。(中国计算机报 Andrew D)
网友评论