摘要：如果员工没有意识到一些潜在的安全隐患，那么就算企业安全信息系统再昂贵，其功能也会化为泡影。其实只要改进一些平时常被忽略的行为，就很容易避免安全威胁，而且几乎不用多花一分钱。

第1页:警惕那些你认为靠得住的合作伙伴 第2页:密后的保密工作

 
　　
　　Mandia说，系统应记下数据流动情况，包括谁在什么时候访问数据、哪些应用软件使用了这些数据，但鲜有公司这么做。他说:“我们看到的最常见错误就是，公司请我们过去，我们首先问的是有没有任何相关文档。对方往往会提供大量数据，却没有正式的文档。技术人员在这方面做得很差，律师也没有要求这样做。所以几乎无一例外的是，我们过去问公司出了什么情况，对方根本答不上来。”
　　
　　6.泄密后的保密工作
　　
　　许多公司没有任命某个领导人或者小组来负责响应安全事件、查找重要细节，结果也大大限制了响应事件的能力。在许多公司，这成了推卸责任的借口;而另一些公司让太多的人参与泄密事件响应工作，结果这么多的人反而妨碍了相关的调查工作。
　　
　　Mandia说:“有些公司让太多的人参与决策过程。我们过去后，得向12个人说明情况，但实际上其中有10个人并没必要参加。”
　　
　　另一个常见问题是，许多公司通常没有针对泄密事件进行保密。这样一来，员工听到风声后，会立即设法保护自身利益，从而加大了调查的难度。
　　
　　Mandia表示，如果事件牵涉到内部人员，他们知道行踪败露后，可能会立即清理掉一些证据(而这些证据原本可以帮助调查人员查明真相)，这样就为确定责任带来很大麻烦。
　　
　　7.装好安全补丁并不等于高枕无忧
　　
　　随着涉及IT和数据安全人士的法规措施越来越多，许多公司投入大笔资金用于技术性解决方案，以堵住漏洞。但它们通常以为，采用某项技术或者符合某个方面的法规就能高枕无忧了，事实并非如此。
　　
　　SecurityIncite公司的分析师Mike Rothman说:“我看到的最主要问题就是，人们以为采取部署反病毒软件、打上补丁和运行漏洞扫描之类的简单措施后，就真正符合要求了。他们并没有从风险管理的角度来看待问题。”
　　
　　不少公司审查了数量有限的安全补丁，得到及格分数后就认为再也不需要加强工作。Rothman说:“人们常常以为，一旦进行了积极审查，就大功告成了。之后，黑客们会证明其实并非如此。”
　　
　　8.放弃不该保存的数据
　　
　　另一种常见情形给安全人士和法规遵从人士带来了灾难，那就是:许多处理信用卡和借记卡的公司对保存账户信息的交易日志系统不设防，任由这些交易日志开着，这会导致客户数据泄密。
　　
　　9.安全问题不能“一视同仁”
　　
　　Rothman表示，公司常常会掉入另一个与法规遵从有关的安全陷阱:不管IT系统对公司的安全和成功具有的重要性如何，一律投入同样的精力或者费用来保护。
　　
　　他说:“有些人犯的错误就是，对所有安全问题‘一视同仁’：为保护只有五人使用的旧应用系统所投入的时间和资金与为保护所有客户使用的在线应用系统所投入的一样多。”
　　
　　这种做法浪费了资金，一旦预算花光，以后还会留下更严重的问题。Rothman说:“安全人员常常不知道如何优先处理重要问题。他们应当关注假设具体某个方面出现泄密会有什么样的后果，然后再考虑如何设定开支。”
　　
　　责任编辑：Honey