如何应对数据泄漏

2014/07/28

每个组织都会有一个正确和一个错误的方法来应对数据外泄问题。不幸的是,它们往往有时是一个相同的方法。

要达成危机管理的共识,就是要迅速的摆脱坏消息的影响。对于近期Target公司勇于承认发生数据泄露的问题,除了得到了各界的称赞外,由于其发生原因含糊和带给消费者的后果也不明确,也同时被批评。

在2011年,VeriSign因没有公开2010年发生的严重数据泄露问题而广泛的被批评。这个数据泄露事件被公开是因为它被叙述在美国证券交易委员会备案授权书。这是对待可能受影响的客户的一种极大的烦恼。

在另一方面,由Ponemon Institute所进的研究中,得到的结论是公司经常在查出数据泄露原因和了解该问题范围之前,急于向外公布。这会使客户和其他没有实际被影响的人心烦苦恼。

有趣的是这个研究是由赛门铁克,一个从VeriSign购买SSL证书业务的公司,成为2010年数据泄露的受害者。正因如此,赛门铁克和其SSL证书业务失去了公信力。SSL证书是用来确保您可以信任正在访问的网站,如果您不信任该证书颁发机构颁发的证书,它们又有什么好呢?

一个可以用来确定如何快速的公开数据泄露的关键因素是该数据泄露的重要性。在当今的数字世界中,个人身份信息 (PII)可以被犯罪分子或有恶意企图的人利用,造成严重的数据诈骗和损害。这不一定是社会安全号码或信用卡号码所造成的个人问题。如果有足够的信息确定某个人的身份,比如SSL证书拥有者,那么就会造成严重的损害。

草率地摆脱坏消息和什么都不做之间需要有个中间地带,就正如VeriSign所做的。关键是当事件发生后,迅速进行调查,并及时采取适当的行动。

不幸的是,在我们高度诉讼的社会中,企业可能觉得必须在咨询律师之前,先咨询法医技术专家。就像在“The Practice”戏中的辩护律师所说的,“被告人必须闭嘴”。对起诉的人可能是个好的意见,但如果用于与客户和公众打交道中,那么这是一个非常糟糕的商业做法。

在另一方面,该法律形势含糊。很多州已经通过法律在一些通用和特定行业中,如医疗保健和信用卡报告,保护他们的个人信息。“数据问责制和信托法”一直停留在国会几年了。如果它被通过的话,它可能会向那些60天内受数据泄露影的事件要求通知。

当然最好的方法就是防止泄露的发生。在2012年Verizon的报告中发现,如果受害者使用防火墙杀毒软件,那么就可以防止大多数的数据泄露的发生。为什么您要冒这个险, 而科摩多可以提供您杀毒软件,确保您永不会被病毒侵入。

Tags:

Write a comment

Name
Comment