9.在不该投入的地方浪费了对付重大危险所需的资源。
和法规遵从相关的另一个安全陷阱就是很多企业经常会对重要性完全不同的安全等级投入相同的人力和物力,Rothman说。
“一些人的错误就在于,对所有的安全问题都一视同仁,在所有客户都使用的某个在线应用上花费的安全支出,和在只有5个人使用的旧的应用上花费的同样多。”
这种方式不但浪费金钱,而且还会把很多重大的问题拖到以后再去处理——一旦预算用光,也可能就此再也不去解决了。“安全人员往往不知道究竟什么事情应该优先考虑,”Rothman说。“他们真应该试试看如果某事做坏了会产生什么结果,然后就知道该把钱花在哪里了。”
10.不要存储不必要的数据。
还有一种较常见的情形是安全和法规遵从导致的灾难,很多企业在处理信用卡和借记卡时会无意中遗漏存有账户信息的交易日志系统。而这种日志就可能导致客户数据的外泄,以及PCI(支付卡行业)审计的失效。
“他们自然意识不到,就在他们存储数据时,黑客或者心怀恶意的员工就可以复制假信用卡。”赛门铁克的Roop说。“这是PCI法规遵从的基础性错误。在最近的案例中我们实际上已看到过这种例子。它是个大地雷,极有可能导致无效的PCI审计。”
Roop认为,企业其实没必要收集支付卡信息,只须存储对他们的业务有用的信息便可。他建议说,把所有信息都抓在手里就有可能被攻击者滥用,没必要储存的信息只会带来麻烦。如果必须保留此类信息的话,那就必须构建一种能够有效保护信息的办法。(博恩 编译)
上一页 1 2 3 4 5 |
安全中国首页 > 文章中心 > 安全防护