在多次的系统数据泄漏导致其至少1亿客户的敏感数据暴露之后，SONY公司设立了一个首席信息安全官职位，并正在实施额外的防火墙和其它安全保护措施。

    该公司是一系列与知名度高的数据泄漏作斗争的公司之一，数据泄漏在2011年的头几个月让这些公司处境艰难。RSA是EMC公司的安全部门，它仍在调查一个可能已经使其最珍贵的资产——知识产权暴露的数据泄漏。市场服务公司Epsilon Data Management，负责为包括RSA在内的许多主要公司处理客户邮箱地址和其它信息，它也经历了严重的系统数据泄漏。

     Sony公司的高管们已为他们的安全过失道歉，并将为客户提供免费的信用监控，这是跟踪数据泄漏的一个标准措施。但是，安全专家表示，Sony的泄漏暴露出了太多问题，包括公司无法将客户的敏感支付数据与其系统的其它数据隔离。Sony的初始泄漏影响到了其PlayStation网络的7700万用户。而在一周之后，该公司透露，依赖于其在线娱乐部门的一个服务器也被暴露了，该服务器可以追溯到2007年的信用卡信息，此次事故可能会影响到另外的2400万人。同时，在日本的第三次系统数据泄漏会影响到超过几百万的Sony客户。

    专家表示，最近的数据泄漏表明企业需要对数据安全进行更好的管理。安全顾问公司Holmquist Advisory的总裁Eric Holmquist说道，很多时候，公司注重于基础架构和系统安全改善，但却不能获取存储在远程系统上的数据清单。

    “我已经看到许多这样的情况，人们可以证明所有的技术、所有的程序以及所有的政策，但当你说，‘太好了，数据清单在哪里呢？’然后你就会得到茫然凝视。”Holmquist说，“经常需要一个重大事件才能使人们把事情做得更好，这是很不幸的。”

    Jon Gossels是咨询公司SystemExperts的总裁和首席执行官，他建议所有公司，无论大小，都拿自身与ISO 270002对照。该框架可以帮助公司对其安全政策进行正式化，从而更紧密的管理他们的资产，并把操作管理、风险分析和访问控制连接起来。

    “理解你的业务应该以什么方式运作以及它实际是怎么运作的，并找出两者间的差距。”Gossels说道。

    Gossels表示，Sony的数据泄漏与其它公司的泄漏存在相同之处。通常情况下，各公司不会运行最新的软件。即使它们运行的是更新的软件，一个配置错误也可以引起缺陷，他说道。据2011年的Verizon数据泄漏调查报告称，几乎所有被分析的数据泄漏都利用了配置缺陷或“系统/应用程序的固有功能”。事实上，Verizon发现，在381件泄漏中只有五个被利用的漏洞归咎于黑客。

    参照RSA的数据泄漏事件，“我们发现，在当前，即使是那些在安全方面很擅长的公司也非常容易受到攻击。”Gossels说道，“现在，有组织犯罪猖獗，还出现了敌对的外国政府以及工业间谍等事件；攻击者们正试图做一些难以发现的事情。”

    在很多情况下，各组织正在做更好的补丁工作，但是极少数工作是用来解决旧系统中的软件漏洞问题，Bill Curtis这样说道，他是IT软件质量协会的主管和合伙人。即使SQL注入、跨站点脚本以及缓冲区溢出等漏洞被找到并修补了，一个坚定的黑客也会找到他的入侵方法，Curtis说道。他认为，公司需要对他们的系统执行一个更彻底的代码审查，同时保持一个更好的配置管理程序。

    “一旦你将你的应用程序暴露在网络上，你就会与你可能不认识的人存在各种难以预料的互动，”Curtis说，“一个支付系统不会希望被连接到一个用于游戏世界的系统。”



第四十一届CIO班招生
国际CIO认证培训
首席数据官（CDO）认证培训

免责声明：本网站（http://www.ciotimes.com/）内容主要来自原创、合作媒体供稿和第三方投稿，凡在本网站出现的信息，均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性，但不保证有关资料的准确性及可靠性，读者在使用前请进一步核实，并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏，概不负任何法律责任。
本网站刊载的所有内容（包括但不仅限文字、图片、LOGO、音频、视频、软件、程序等）版权归原作者所有。任何单位或个人认为本网站中的内容可能涉嫌侵犯其知识产权或存在不实内容时，请及时通知本站，予以删除。