别人也可以访问辉瑞的文件。
粗心大意的用户加上文件共享软件带来的危害更大。据达特茅斯学院的一项调查显示,虽然大多数公司禁止在公司网络上使用P2P文件共享,许多员工把共享软件安装在远程和家用个人电脑上。比方说,调查发现30家美国银行的员工在共享对等系统上的音乐及其他文件,无意中把银行账户数据泄露给了对等网络上的潜在犯罪分子。一旦商业数据被泄露,就会传播到世界各地的众多计算机。
教训:首先,IT人员需要完全禁止使用P2P软件,或者制定P2P使用政策,并且实施执行这些政策的工具。Muller说:“辉瑞本该更全面地审查系统,以便阻止员工安装任何软件。你可以取消员工的管理员权限,那样他们安装不了任何软件。”他表示,培训也很重要,那样用户明白P2P有哪些危害、怎样才是良好的密码及其他标准安全做法。
Semple强调:“极其需要教育,那样员工就会明白我们不是存在为难他们,而是阻止危害发生。那样他们就会明白‘这是我不能这么做的原因。’” 回顾:2008年11月,亚利桑那经济安全部不得不通知大约4万个孩子的家庭:因为几只硬盘被人从存储服务商处偷走,他们的个人数据可能被泄密了。虽然硬盘受到了密码保护,但没有经过加密。该部门表示,没有任何信息被用来实施欺骗。
代价:据波耐蒙研究所声称,分包商泄密造成的损失比内部事件还要惨重,每条记录损失分别是231美元和171美元。
提醒:据波耐蒙研究所的年度调查显示,外包商、承包商、顾问和商业合作伙伴导致的泄密事件在不断增加,占到去年调查对象上报的所有案例的44%,而2007年为40%。在ITRC的调查中,2008年10%的泄密事件与分包商有关。
教训:公司需要与分包商签订条文严密而具体的服务级别协议,然后确保分包商遵守协议;如果没有遵守,就要给予惩罚。Semple表示,遇到使用备份磁带或磁盘的情况,就要坚持采用加密和密码保护。
9 7 3 1 2 3 4 4 8 :