这种安全性隐患经常发生,但是却一直没有引起人们的足够关注。
但是当这种安全性问题在一家大型的金融公司中发生,人们立即停了下来,开始关注这件事情;那就是Fidelity投资公司上周承认说,他们的一台膝上型电脑中的数据被窃取,这些丢失的数据包括大约196000名客户的一些敏感的个人信息。
各地的CIO们也开始考虑,‘是不是每个人都阅读了膝上型电脑的安全性政策呢?’
一些没有认真的防范措施的膝上型电脑很容易被窃取数据。但是对于商务进程及管理来说,一些电脑数据的移动入口是非常重要的,因此CIO们需要想办法来减少这种风险,而同时又要允许公司员工们利用电脑中的数据进行商务工作。
Eric Maiwald是美国犹他州Midvale市的 Burton集团公司的高级分析人士,他说,要完全的消除这种电脑数据丢失的风险,唯一的方法就是把这些数据锁起来,禁止它们离开自己的公司。然而,对于商务进程而言,数据必须是可以进入并获取的。员工们经常需要这些数据的移动入口,才能够很好的进行营销等商务。
Maiwald说,“公司商务做出的是一种风险性的管理决定。这就不可能100%的安全。要想既能够保证安全性,又能够很好的管理商务,这几乎是不可能的。”
Maiwald说,当然还是存在一些方法和步骤,CIO们可以据此减少这种风险,并同时允许数据的移动入口。
可能最重要的一种方法就是在移动计算机上采用授权签名及密码技术等。但是仅仅依靠这些技术还无法完全的保证数据不被窃取。现实中,加密技术只是减慢那些高技术窃贼进入电脑并窃取数据的进程,但无法避免。
Maiwald说,“加密技术可以延迟攻击者进入自己的电脑数据。但是最终他们还是可以强行破密进入。电脑运行速度越快,其运算法则就可以越好。但是如果我要攻击某台电脑,我并不会进攻它的运算法则,而是挑选一些薄弱的地带进行攻击。”
侵入Fidelity公司电脑的这名窃贼可能并不见得对该公司的用户数据有多大的兴趣,但是这仍然使得公司的CIO困扰不已。
这一点好像是比较明显的,但是保护电脑数据的最好的方法是首先要阻止它被进入和窃取。
公司们必须在保护数据以及使用移动电脑方面制定很好的政策。更重要的是,他们必须加强这种政策的实施。
Maiwald说,“我经常发现有这样的一些组织部门;他们的政策强调说‘不能够这么做’,但是人们仍然去做;这主要是因为这些措施并没有什么强制力。”
Stuart McIrvine是IBM公司全球策略部的主管,他说,IBM正在有规律的自动对于他们的员工们的系统进行检测,看他们是否遵从了公司的安全性政策。一个自动的系统将对员工计算机中的杀毒软件以及防火墙的升级情况等进行确认。它还检查一些敏感的信息是否经过了加密技术处理。如果这些条件没有完全满足,那么该员工的监察者将会自动的通告和提醒他。
Maiwald说,对于一个公司而言,它必须向员工们强调安全性策略的重要性。安全性策略的认知程度经常是最需要强化的方面。它可以为你提供巨大的机遇和收益,当然如果处理不好也会带来很大的麻烦;好的安全性政策是一个组织部门的生命线。如果员工们在安全性方面陷入困境,那么公司不得不以百万计的资金进行弥补。
从现在看来,从Fidelity公司窃取出去的数据应该还是安全的。据Crowley透露,公安机关确定这名窃贼的行为已经构成了财产侵犯罪名。这名窃贼很可能并不知道他所窃取的这些数据的类型,这也正是Fidelity公司很谨慎的尽可能少的透露这个问题的细节环境的原因。
Anne Crowley是Fidelity公司的媒体及公众事务方面的高级副总裁,她拒绝提供上周这种偷窃事件的细节问题。她只是说,Fidelity公司的几名员工带着移动电脑离开了Fidelity 以及Hewlett-Packard公司办公室去参加了一个会议;然后这台电脑就被偷窃了。
Crowley并没有对Fidelity公司在移动设备中的敏感、重要信息方面的相关政策做出什么评论。然而,她说,“把数据存储在移动电脑中并不是我们的一贯策略。我们也比较限制这种重要的数据在Fidelity公司外部的使用。”
Crowley认为这台丢失的电脑中的数据是比较复杂的,并说,读取这些数据的软件许可证已经到期了,因此人们将很难读取和使用这些数据信息。
(e129)
