IT专业人士为何常常忽略安全警告

现在数据安全如此重要。你们公司在监控谁能访问你们的数据方面做得怎么样呢？我猜做得并不是非常好！

即使公司必须遵守HIPAA（http://www.hhs.gov/ocr/hipaa/）和Sarbanes-Oxley这些法律使得首席信息官特别重视数据保护，但我们仍有许多理由朝这个方向继续努力。

一名妇女从商店的安全大门离开，这时警报响起。她停下来四处张望，但商店营业员重新设定警报后，没有检查她的提包就回去继续工作。于是她接着向前走。

这种情况多久出现一次呢？从我最近的购物经验判断，可以说出现许多次。商店入口的安全传感器基本上没有多大用处。为什么呢？因为员工认为警报是错误的，就像以前多次出现的那样；或者更糟糕的是，他们只是没有时间或不够关心对警报采取后续行动。

从某种意义上，他们对警报已不再敏感。使用报警装置是为了减少盗窃行为，但它起到的最佳效果是对可能的窃贼起到威慑作用。再者，可能窃贼知道他们作案后可以离开，而不必担心一个发生故障的警报器。

一般的企业IT部门和上述情形有许多相似之处。例如，隐藏在审计日志和系统安全事件中的许多警告信号并未引起IT专业人士的注意或被忽略，即使注意到也为时已晚。如果对其进行积极监控并采取针对性的行动，这些“警告”就可以防止或阻止数据违反企图。

以去年发生在UCLA（http://news.com.com/UCLA+laptop+theft+exposes+ID+info/2100-1029_3-5230662.html）和Ohio大学（http://news.com.com/2100-7349_3-6074739.html）令人瞩目的数据违反案为例。这些违反事件使110多万用户的秘密个人数据面临风险。之后在调查过程中发现，这些系统在一年多的时间内一直发生泄露——有一整年的机会终止安全违反并防止进一步的数据丢失啊！为什么违反发生后，调查人员能够通过事件日志追查到违反行为；而当这些事件在他们鼻子底下发生时，大学IT员工却不能探测到入侵行为呢？

除企业安全策略漏洞外，在未发现数据违反事件时，人们常常引用的一个理由是：许多系统生成大量的审计数据，但公司缺乏足够的人力对其进行分析。除非你们公司拥有庞大的IT部门和预算，否则你不可能在员工中配备专门的安全分析人员。但是，应该指出的是，去年发生数据违反的公司中，几乎所有公司都有足够的能力投入必要的资源实施可靠的安全实践。他们没有借口可言。

发生安全破坏的另一个原因在于，对许多美国企业而言，IT仍然只是一个必要的工具。IT是企业利润的源泉，但人们依然认为它会给利润造成负面影响，一种昂贵的影响。传统上，IT预算越少，已经不堪重负的员工就必须承担更多工作。

在你的IT部门转一转，问每位专业人员他们花了多少时间来追查数据安全事件及检查审计日志。除非他们碰巧是安全分析员，否则你肯定会得到这样的回答，他们有太多其它职责和项目要完成，而没有时间来考虑安全事件日志。

今天，要修复数据安全漏洞，处理许多被报道的数据违反事件，必须对企业文件进行改变。公司安全计划的中心问题不应是微软每月的“热门补丁”发布，其中必须包括强调限制私有数据泄露的可靠安全策略，以及数据加密和审计日志监控。缺少其中任何一项都无法实现真正的安全。

责任编辑:德东

查看本文国际来源