"5000万的信用卡、7000万的用户记录、一亿四千八百万的损失"这是2013年安全漏洞最有影响力的目标。那么450万人的名字、地址、社会安全数、出生日期和电话号码怎么办?
在社区卫生系统(CHS)中有大量的病人病例被盗,对于大多数的中产田纳西州商界领袖来说,这次袭击无论从地理还是心理上都是一次离家最近的。CHS漏洞涉及到了不能轻易更改的永久信息,不像信用卡可以被随意取消或代替,如果长期的违反将会带来严重的后果。
不要让你的业务成为下一个网络破坏的标题。
传统的方法不能够满足今天的网络安全环境,也不能够满足需求的变化。我们在节目中讨论过怎样让最头疼的信息技术安全问题驱动公司的利益,像HIPPA、PCI、SOX处理合规问题一样。合规问题标准不仅长,而且复杂,还有好多技术用语。
实现合规也不是一步一步的事。它是组织每天工作跟进不断发展的技术。也难怪商业领袖在阿司匹林中爆发。如果你有数据属于合规标准,像HIPPA、PCI、SOX,你必须控制数据、信息安全协议的访问是昂贵的、复杂的,并且需要花费大量时间。
尽管没有任何损失,甚至小中型企业也有能力去保护他们用户的数据。但是你的组织防御今天的现代威胁仍然需要五个步骤。
许多小型和中型企业的关键问题是缺乏知识。许多商业领导人根本没有一个完整的信息技术资源和关键数据的库存。
例如,据信息安全咨询公司TrustedSec说 ,利用"Heartbleed"错误袭击CHS,最近席卷在在4月份的新闻当中,并且获得来自Junipe连接到CHS网络设备的用户凭证。从那里,凭证是用来登录CHS的虚拟专用网,虽然我们可能永远不知道是否CHS知道应用补丁的Juniper设备,但是医疗保健公司的第一步是评估其网络和创建一个存货资产,并且安装任何潜在的漏洞和活跃的威胁软件。
威胁检测系统需要扩展并且超出预防安全工具,如防火墙和杀毒软件,并识别已知的恶意实体,有漏洞的系统,潜在的不安全行为和应用补丁的软件。如果你需要符合PCI、HIPP或者是Sarbanes-Oxley,那么你需要在合规中测量、管理和报告。
小型和中型企业领导人往往缺乏专业人员或安全培训来应对发生的信息技术安全事故。无论你是一个专业人员还是与IT公司在合作,只要有漏洞发生,你就必须分析威胁并且迅速作出响应,进行彻底调查。
不要在不安全的环境下操作你的信息防御系统–找到一个系统化的方法来掌握从最新的威胁到经过时间考验的安全控制。当你学习新的东西时,要与你的同伴分享信息。
尽管最好的数字安全系统还不是很完美。黑客总会有寻找机会获得提取大量信息的钥匙。虽然这个刚开始听起来很沮丧,但是它是你们组织因为技术每天努力工作取得的惊人进步的一部分。只需要把你的防御系统作为一个生活过程,不断的调整和完善,才能防止被黑客盗取。