五个数据泄漏的恶梦

数据泄露公司的成本平均每年记录197 $，2007年，根据Ponemon的该研究所的研究。数据泄露的平均成本为$ 6.3亿美元，增长从480万$ 2006。

而这正好抵消直接成本。一个广为人知的数据泄漏也可以转化为业务损失的机会，每泄露客户记录128 $调，根据Ponemon的研究。难怪公司都抢着来支撑他们的防御，防止数据泄漏。

在这个包中的故事，我们将介绍五个最糟糕的数据泄漏的恶梦，纪事数据泄露市场的快速整合，轮廓五个关键数据泄露公司和面试在预防数据丢失的权威专家。

梦魇1：

电影在11

高调数据泄漏可能花费公司数百万美元。只要问问TJX。

什么时候家得宝丢失一台笔记本电脑包含上万名员工的个人信息，这只是高调的数据泄漏事件的字符串的最新产品。该退伍军人管理局，TJX，Monster.com，富达国民信息服务，辉瑞，美国在线，Ameritrade公司- 这样的例子不胜枚举和。

如果你是错误的，而不是黑客的受害者，这个噩梦会变得更糟。想想最广为人知的数据泄露受害者之一:TJX。这次攻击当然是黑客的错，但据Aberdeen Group安全技术研究主管卡罗尔·巴罗迪(Carol Baroudi)说，TJX必须承担一些责任。

“TJX不应该在他们的数据库中存储磁条信息，”Baroudi说。“这是一个缺陷存储政策。他们甚至没有意识到他们的风险是把个人信息。”

更糟糕的是，TJX没有发现违反。签证一样。该TJX违反已经从一个恶梦去了一个经常性的噩梦，随着公司诉讼后遭受诉讼，最新的一个是十月法院立案信用卡公司声称，被入侵的信用卡数量达到了9400万张，是TJX承认的数字的两倍。

另一个例子是AOL。AOL的数据泄露是不坏的政策的结果，而是好（尽管误导）的意图。在泄漏时，AOL有一个新兴的研究现场其所发布用户的搜索历史来推动进一步的研究。这一举动不经意露出的网络冲浪很多用户的习惯。

是的，美国在线对其用户的身份保密，但任何一个费心挖掘这些搜索的真实细节的人都可以知道谁在浏览什么，因为人们经常搜索自己，亲密的朋友，他们的爱好，他们所属的组织，以及他们附近的企业。

AOL的员工并不想伤害公司，但是这些无意的事件和恶意事件一样糟糕，甚至更糟。

梦魇二：

短信擦枪走火

没有保护的电子邮件可能会导致严重的数据泄漏问题

乔治华盛顿大学（GWU）医院差点，可能有国家数据泄露安全的影响。副总统迪克·切尼按计划将访问这家医院，而特勤局试图发送一份危险的未加密电子邮件，可能危及他的安全。

“特勤局发了一封邮件，以协调那些访问通知我们哪条路线，他们将采取通过建设，其中包括电梯，”艾米亨宁斯管家，助理导演，乔治·华盛顿大学的安全系统操作说。“在我们看来，那种敏感信息不应该通过互联网发送的 - 特别是作为一个纯文本的电子邮件。”

因为它以前从安装一个Reconnex数据泄露防护（DLP）产品，其触发报警GWU躲过这一数据泄漏子弹。在DLP系统（比较产品)回应了一些文本，以及缺乏加密，这使得IT管理员可以阻止消息。发送这封电子邮件的特工很可能违反了特勤局自身的数据安全政策，但正是学校的安全部门发现了这封邮件。

“电子邮件仍然是最大的问题，到目前为止，” Forrester Research的分析师G.奥利弗·杨说。“这是在它的信息的旅行无处不在，大量的，而且很容易向前文件，甚至没有思考，包含敏感信息。”

某些行业，如医疗保健和金融，在电子邮件安全方面走在了前面，因为有像《医疗保险便携性和问责法案》和《金融服务现代化法案》这样的法规。正因为如此，他们已经超越了制定政策和信任培训员工的权宜之计。

“即使有强有力的政策，人们可能没有意识到他们正在发送出的敏感数据，”约翰·Vander Velde提供了密歇根湖金融公司的控股公司在密歇根州北部社区银行的管理人员和IT经理说。

“我们把风险矩阵一起，Vander Velde提供说，”我们很快意识到，我们最大的风险就是电子邮件。即使是训练有素的员工可能无意中发出可能被捕获或嗅探信息“。

例如，2007年7月Forrester咨询机构的一项调查发现，在接受调查的人中(有308名IT专业人士供职于拥有1000多名员工的美国企业)，有三分之一的人调查过他们认为在过去一年中泄露了机密数据的电子邮件。

受Proofpoint委托进行的这项调查还发现，受访者估计，约20%的发送电子邮件含有“构成法律、金融或监管风险的内容”。与此同时，在接受调查的公司中，超过四分之一的公司在过去一年中曾因员工违反公司电子邮件政策而解雇员工，45%的公司曾因员工违反政策而对其进行纪律处分。

密歇根湖金融得出的结论是，它需要技术作为一种超越行政策和培训辩护。该公司最终转向了DLP产品，在这种情况下，来自Proofpoint的。“像这样的解决方案应该对金融业整体有利，” Vander Velde提供论证。“即使他们推出了关于机构按机构的基础上，带来的好处应该是深远的。”

噩梦3

出租车自白

失去一台笔记本电脑，手机或USB驱动器比你想象的更常见

密歇根湖Financial的第二大担心是便携式数据。使用GFI EndPointSecurity，密歇根湖金融阻止用户下载敏感数据到USB驱动器或CD。

“Vista的是没有达到标准，在粒度级别来控制的事情，” Vander Velde提供说道。“我们有一些部门所使用的便携式存储备份或这样他们就可以在家里工作。”Vander Velde提供指出，员工们抱怨，在第一，因为它打断了他们的工作流程。通过提供替代方案，安全存储和远程访问选项，密歇根湖金融制成大部分高兴。

据巴鲁迪仔，大多数机构都正准备在那儿的风险与笔记本电脑丢失相关联，甚至还没有开始对移动存储的思维。风险，不过，往往是不同的。

“笔记本电脑和USB驱动器的区别在于，有了USB，你就可以有意识地移动数据，”她说。因此，风险往往来自内部攻击和知识产权盗窃。他们希望，培训和政策至少能让员工在下载敏感数据前三思。“使用笔记本电脑，你可能不会打算把数据转移到不太安全的地方，”她说。

事实上，根据埃森哲的流动性的做法，即不太安全的地方往往是出租车。埃森哲发现，最大的风险至移动工人不穷无线上网安全或战争驾驶 - 这是大多数移动安全计划重点 - 而它的员工谁只是忘记了自己的笔记本电脑，PDA和移动电话的出租车。

USB驱动器、旧硬盘驱动器和放在汽车前座的笔记本电脑都有巨大的风险。家得宝(Home Depot)、辉瑞(Pfizer)和退伍军人事务部(VA)都因持有机密信息的笔记本电脑被盗而陷入麻烦。如果不从一开始就阻止敏感数据进入这些便携设备，几乎不可能防止机会主义的小偷或简单的健忘。

排名第四：

Blabber-blogs

内部博客是伟大的，除非员工开始溢出公司机密

Web 2.0,网络电话，而其他的新技术正让安全专家们抓狂——至少在那些足够关注它们的组织中是这样。举个简单的例子，比如写博客。

在微软，博客迷你微软已经激起了一堆争议。据该博客的作者，微软的一名员工谁希望保持匿名，博客开始作为一个论坛“揭露了很多人去了他们对微软的问题和关注的午餐时间的谈话。”

在我们的电子邮件采访的Mini-Microsoft的作者，他说：“你看到了很多深，深思熟虑的，从里面建设性的批评的。我不能说这个去任何地方，即使到了今天。。。两年前，当很多的担忧东窗事发，事情得到了做。难道发生没有博客？也许。也许不是，虽然“。

Aberdeen的巴鲁迪有匿名企业博客的一个问题。“匿名博客是不负责任的。如果你觉得强烈而你不愿意把你的名字给它，它就会失去信誉。如果你把你的名字给它，有一个对话。”

除去匿名的外衣，迷你微软还能同样有效吗?“绝对不是，”Mini-Microsoft写道。“如果我用真名开了这个博客，那么我很快就会被人关闭，他们会质疑一个在XYZ工作的人怎么可能对一个(不相关的)项目有发言权。”

“有会是更多的批评对我和我的职责是什么谁。“嘿，你为什么不写博客的功能栏是怎么坏了？”这是人的本性。神秘允许知识的假设，并提供许可的思考。我不能说这会被视为职业能力为领导了从我的链“。

博客为IT安全带来了一个严重的困境。像Mini-Microsoft这样匿名的公司灵魂受到员工的高度重视。像来自洛斯阿拉莫斯国家实验室的那些告密者的博客甚至更有价值，因为他们揭露了危及国家安全的功能失调的行为。

然而，这些博客做带来风险。如果机密数据被泄露，例如，管理有正当理由担心。PR和营销主管撕扯自己的头发出来搞清楚如何向坏消息往往伴随着这些博客回应。

大多数组织，虽然，只是不知道如何处理这些博客，并且，其结果是，大多数要么忽略它们或使试图关闭它们的错误 - 这通常恶化的士气，并产生更多的坏消息。

其他新技术等目前的窘境。以IBM的许多眼睛，这基本上是一个混搭应用程序用于可视化数据。“有大量的数据有没有可能不应该，” Forrester的Young说。“你可以找到销售预测和企业的损益表。”很多人眼中并不总是显示该数据是从哪里来的，但大部分是不是很难搞清楚。

甚至有来自政府机构的数据，包括中央情报局。如果我们不能相信特勤局不会发送未加密的行程，那就不用担心它会在很多人的眼里发布什么了。

梦魇五：

减少灾害

在兼并，裁员和重组数据失窃增加

当一家公司宣布合并——或者更糟的是裁员——员工的忠诚度就会被削弱。费舍尔菲利普斯律师事务所(Fisher & Phillips, LLP)的合伙人罗伯特·约诺维茨(Robert Yonowitz)说:“在这些活动期间，数据的卸载量是巨大的。”

通常，组织对这些事件的计划很差，使问题更加恶化。例如，如果一家公司宣布裁员10%，但没有说明谁是安全的，谁是不安全的，那么数据盗窃的风险就会显著上升。

如果你的公司没有打算在短期内裁员或重组，不要以为你可以放心。尽管规模小得多，但当关键员工更换工作时，同样的动力也在发挥作用。当一名员工离开公司时，他通常已经计划了一两个月，而这正是大多数数据盗窃发生的时候。

据Yonowitz，90％的数据丢失的情况下，他认为涉及客户名单。例如，当市场或销售代表移动到竞争对手，他们经常许诺给他们带来业务。

业务关系陷入一个模糊的区域。在法律上，该公司拥有的业务关系和员工收集，而在工作中的关键信息，但员工当然要维护和更新个人关系的权利，巩固那些更大的业务关系。

因此，员工向关键联系人宣布工作变更是可以的。不过，如果公告更像是一种诱惑，那么此人很可能违反了竞业禁止条款。

然而，公司失眠的例子通常远远超出了关系的灰色地带。Yonowitz说:“这些案件不仅仅是人们记下姓名和地址，而是我所说的‘客户剧本’。”“比如购买习惯、合同条款、合同到期日期，以及尚未完成的潜在交易的状况。”

时间是在这些情况下的精髓。Yonowitz估计，伤害90％的员工离开后两个星期内完成。如果你没有赶上快速的数据丢失和响应马上，损害就已经完成。