数据泄露公司的成本平均每年记录197 $,2007年,根据Ponemon的该研究所的研究。数据泄露的平均成本为$ 6.3亿美元,增长从480万$ 2006。
而这正好抵消直接成本。一个广为人知的数据泄漏也可以转化为业务损失的机会,每泄露客户记录128 $调,根据Ponemon的研究。难怪公司都抢着来支撑他们的防御,防止数据泄漏。
在这个包中的故事,我们将介绍五个最糟糕的数据泄漏的恶梦,纪事数据泄露市场的快速整合,轮廓五个关键数据泄露公司和面试在预防数据丢失的权威专家。
噩梦1:
电影在11
一次高调的数据泄露会让你的公司损失数百万美元。问问TJX。当家得宝丢失一台笔记本电脑这是一系列备受瞩目的数据泄露事件中最新的一起,其中包括1万名员工的个人信息。的退伍军人管理局,TJX,Monster.com,富达国民信息服务,辉瑞公司,AOL,Ameritrade公司-名单还在继续。
如果你是错误的,而不是黑客的受害者,这个噩梦会变得更糟。想想最广为人知的数据泄露受害者之一:TJX。这次攻击当然是黑客的错,但据Aberdeen Group安全技术研究主管卡罗尔·巴罗迪(Carol Baroudi)说,TJX必须承担一些责任。
“TJX不应该存储磁条信息,在他们的数据库,”巴鲁迪说。“这是一个有缺陷存储政策。他们甚至没有意识到他们的风险是把个人信息。”
更糟糕的是,TJX没有发现违反。签证一样。该TJX违反已经从一个恶梦去了一个经常性的噩梦,随着公司诉讼后遭受诉讼,最近的一次是10月份的一份法庭文件信用卡公司指称违反创下9400万张信用卡,两倍多TJX承认。
另一个例子是美国在线。美国在线(AOL)的数据泄露不是糟糕政策的结果,而是出于良好(尽管是误入歧途)的意图。在泄露事件发生时,美国在线有一个新兴的研究网站,在上面发布用户的搜索历史,以促进进一步的研究。这一举动无意中暴露了许多用户的上网习惯。
Yes, AOL kept its users’ identities secret, but anyone who bothered to dig into the nitty-gritty details of those searches could figure out who was browsing for what, since people often search for themselves, close friends, their hobbies, organizations they belong to, and businesses near them.
AOL的员工并不想伤害公司,但是这些无意的事件和恶意事件一样糟糕,甚至更糟。
噩梦二:
消息上大放异彩
没有保护的电子邮件可能会导致严重的数据泄漏问题乔治华盛顿大学(GWU)医院接近一个数据泄漏可能已经国家安全影响。美国副总统切尼被安排参观了医院,特勤局试图发送可能损害他的安全有风险的加密电子邮件。
“特勤局发了一封邮件,以协调那些访问通知我们哪条路线,他们将采取通过建设,其中包括电梯,”艾米亨宁斯管家,助理导演,乔治·华盛顿大学的安全系统操作说。“在我们看来,那种敏感信息不应该通过互联网发送的 - 特别是作为一个纯文本的电子邮件。”
GWU躲过了这个数据泄漏的子弹,因为它之前安装了一个来自Reconnex的数据泄漏预防(DLP)产品,该产品触发了警报。DLP系统(比较产品)回应一些文本,以及缺乏加密,允许IT管理员阻止的消息的。谁发送电子邮件代理最有可能违反了特勤局自己的数据安全策略,但它是大学的安全,引起了它。
“到目前为止,电子邮件仍然是最大的问题,”福里斯特研究公司的分析师G. Oliver Young说。“它无处不在,大量信息在上面传播,而且很容易转发包含敏感信息的文件,甚至不需要思考。”
某些行业,如医疗保健和金融,是领先的曲线,当谈到因为像健康保险流通与责任法案以及格雷姆 - 里奇 - 比利雷法案规定的电子邮件的安全性。正因为如此,他们已经超越创造政策和信任员工培训的创可贴方法。
“即使有强有力的政策,人们可能也没有意识到他们正在发送敏感数据,”密歇根湖金融公司的IT主管和经理John Vander Velde说,该公司是北密歇根社区银行的控股公司。
我们把风险矩阵放在一起,Vander Velde说,“我们很快意识到我们最大的风险是电子邮件。”即使是受过良好训练的员工,也有可能在无意中发送出可能被捕捉或嗅出的信息。”
一个2007年7月的调查由Forrester的咨询机构,例如,发现受访者(308名IT专业人士在美国企业,员工1000余人),第三个曾调查的电子邮件,他们认为,在过去的一年中已经泄露机密数据。
通过Proofpoint的委托,调查还发现,受访者估计,出站的电子邮件大约含有20%“的内容,构成了法律,财务或监管风险。”同时,多接受调查的公司一季度已经终止了在过去一年中违反公司的电子邮件政策的员工,而45%的人因违反政策纪律的员工。
密歇根湖金融公司认为,除了政策和培训之外,还需要技术作为一道防线。该公司最终转向了DLP产品,这次是来自Proofpoint。范德维尔德认为:“这样的解决方案应该有利于整个金融业。”“即使是在各个机构的基础上推行,其好处也应该是深远的。”
噩梦3
出租车自白
丢失笔记本电脑、手机或USB驱动器比你想象的更常见密歇根湖Financial的第二大担心是便携式数据。使用GFI EndPointSecurity,密歇根湖金融阻止用户下载敏感数据到USB驱动器或CD。
“Vista的是没有达到标准,在粒度级别来控制的事情,” Vander Velde提供说道。“我们有一些部门所使用的便携式存储备份或这样他们就可以在家里工作。”Vander Velde提供指出,员工们抱怨,在第一,因为它打断了他们的工作流程。通过提供替代方案,安全存储和远程访问选项,密歇根湖金融制成大部分高兴。
据阿伯丁的巴罗迪说,大多数机构都只是在处理与丢失笔记本电脑相关的风险,甚至还没有开始考虑可移动存储。不过,风险往往有所不同。
“一台笔记本电脑和USB驱动器之间的区别在于,一个USB你故意移动数据,”她说。因此,风险往往与内线攻击和IP盗用。希望是训练他们下载敏感数据之前的政策,至少可以让工人暂停。“一台笔记本电脑,你可能不打算将数据移动到一个不太安全的地方,”她说。
事实上,根据埃森哲的流动性的做法,即不太安全的地方往往是出租车。埃森哲发现最大的风险来移动工人不穷无线网络安全或战争驾驶 - 这是大多数手机安全这些计划主要针对的是那些在出租车上忘记带笔记本电脑、掌上电脑和手机的员工。
USB硬盘,老硬盘驱动器,并且放置在汽车的前座的笔记本电脑都带来巨大的风险。家得宝,辉瑞公司和VA都遇到了麻烦,当持有机密信息的笔记本电脑被盗。如果没有防止在首位这些便携式设备不断获得敏感数据,这几乎是不可能保证对机会主义小偷或简单的健忘。
4号:
多嘴博
内部博客很棒,除非员工开始泄露公司秘密Web 2.0的,网络电话,而其他的新技术正让安全专家们抓狂——至少在那些足够关注它们的组织中是这样。举个简单的例子,比如写博客。
在微软,博客迷你微软已经激起了一堆争议。据该博客的作者,微软的一名员工谁希望保持匿名,博客开始作为一个论坛“揭露了很多人去了他们对微软的问题和关注的午餐时间的谈话。”
在我们的电子邮件采访的Mini-Microsoft的作者,他说:“你看到了很多深,深思熟虑的,从里面建设性的批评的。我不能说这个去任何地方,即使到了今天。。。两年前,当很多的担忧东窗事发,事情得到了做。难道发生没有博客?也许。也许不是,虽然“。
阿伯丁的巴罗迪遇到了匿名企业博客的问题。“匿名博客是不负责任的。如果你强烈的感觉,你不愿意把你的名字,它失去信誉。如果你在上面签名,就会有对话。”
难道迷你微软同样有效减去匿名的外衣?“绝对不会,”迷你微软写道。“如果我开始在我的真实姓名这个博客那么我将是人谁只想问题是如何在XYZ工作的人可能可能有一个关于[无关]项目发言权迅速关闭。
“对于我的身份和我的责任,会有更多的批评。“嘿,你为什么不写博客谈谈你的功能栏是怎么坏的?”这是人的天性。神秘允许对知识进行假设,并允许思考。我不能说这对我的上级领导来说是一种职业赋权。”
博客为IT安全带来了一个严重的困境。像Mini-Microsoft这样匿名的公司灵魂受到员工的高度重视。像来自洛斯阿拉莫斯国家实验室的那些告密者的博客甚至更有价值,因为他们揭露了危及国家安全的功能失调的行为。
然而,这些博客确实带来了风险。例如,如果机密数据泄露,管理层有充分的理由担心。公关和营销主管们绞尽脑汁,想知道如何回应这些经常伴随着博客的负面报道。
大多数组织,虽然,只是不知道如何处理这些博客,并且,其结果是,大多数要么忽略它们或使试图关闭它们的错误 - 这通常恶化的士气,并产生更多的坏消息。
其他新技术等目前的窘境。以IBM的许多眼睛,这基本上是一个混搭应用可视化数据。Forrester的Young说:“有很多数据不应该是这样的。”你可以找到销售预测和公司损益表。“很多人的眼睛并不总是显示数据来自哪里,但大部分数据并不难弄清楚。
有来自政府机构,包括美国中央情报局甚至数据。如果特勤不能被信任送不出去的未加密的行程,这不是夸张地什么它的发帖担心在许多眼睛。
梦魇五:
裁员灾害
在兼并,裁员和重组数据失窃增加当一家公司宣布合并 - 或更糟的是,瘦身 - 员工忠诚度可以破坏。“数据卸载的这些事件中的量是巨大的,”罗伯特Yonowitz,与费舍尔和菲利普斯,律师事务所,律师事务所,专门从事劳动和就业法的合伙人。
通常情况下,组织不善计划这些事件,恶化的问题。例如,如果一家公司宣布员工减少10%,但并没有说谁是安全的,谁不是,那么数据被盗的风险显著上升。
如果你的公司没有预料到裁员或很快改组,不要认为你可以高枕无忧。同样的力度到位,尽管其规模要小得多,随时关键员工跳槽。当员工离开公司,那个人平时一直是一两个月前,当大多数数据失窃发生时是规划。
据Yonowitz说,他看到的90%的数据丢失案例都涉及客户名单。例如,当市场营销或销售代表跳槽到竞争对手那里时,他们通常会承诺带来业务。
业务关系陷入一个模糊的区域。在法律上,该公司拥有的业务关系和员工收集,而在工作中的关键信息,但员工当然要维护和更新个人关系的权利,巩固那些更大的业务关系。
因此,员工向关键联系人宣布工作变更是可以的。不过,如果公告更像是一种诱惑,那么此人很可能违反了竞业禁止条款。
该情况下,企业在失去的睡眠,但是,通常远远超出关系的灰色地带。“这些情况都是不只是人服用姓名和地址,但我称之为‘客户的剧本,’” Yonowitz说。“这些事情像购买习惯,合同条款,对那些合同到期日期,以及尚未关闭的潜在交易的状态。”
时间是在这些情况下的精髓。Yonowitz估计,伤害90%的员工离开后两个星期内完成。如果你没有赶上快速的数据丢失和响应马上,损害就已经完成。