【IT168专稿】糟糕的业务流程会向公司外部人员敞开大门、引诱内部人员，或者干脆助纣为虐、帮助黑客或不怀好意的内部人员为非作歹。

    现状恐怕就是这样。媒体几乎每周都会报道某组织发生重大数据泄漏事件的新闻。家得宝（Home Depot）、零售商TJX、退伍军人管理局（VA）、辉瑞制药公司（Pfizer）、Monster.com和美国在线（AOL）等公司都遇到了糟糕的公关和法律问题，而这些问题都是伴随数据丢失而来的。

    一个相关问题就是知识产权（IP）失窃。公司内部人员轻而易举就能访问、复制及移动敏感数据，这让IT安全人员坐立不安。内部人员出售窃取的知识产权，利用知识产权自己开公司，或者以此向竞争对手谋求职位，这样的事情更是举不胜举。

    举例来说：内部人员轻而易举就能窃取知识产权，这让NeoGenesis制药公司的主管们大为震惊，于是他们着手创建一家安全公司：Verdasys来解决这个问题。公司内部的一名人员企图窃取药方来开办一家新公司；让公司主管们有所注意的不是任何IT安全警报，而是一份可疑的光盘采购单。

    这种情况并非不同寻常。不同寻常的是，NeoGenesis公司发现并且阻止了窃取行为。一项又一项的调查表明内部人员发动的攻击呈上升趋势。据美国商务部声称，知识产权失窃导致美国公司每年损失大约2500亿美元，同时使美国经济减少了近75万份岗位。

    看似无害，实则灾难

    导致数据泄漏和知识产权失窃的原因有好多：有的是验证机制不够完备、数据保存不当，有的是笔记本电脑丢失；但通常存在一个根本的问题是，业务流程存在缺陷。糟糕的业务流程会向公司外部人员敞开大门、引诱内部人员，或者干脆助纣为虐、帮助黑客或不怀好意的内部人员为非作歹。

    “业务流程”是一个非常模糊的概念；不过说到确认存在缺陷的业务流程，你该如何开始入手呢？第一件事就是明白本公司存在哪些看似无害的业务流程。

    Steve Roop是数据泄漏预防（DLP）厂商Vontu公司负责产品营销及开发的副总裁，他发现许多小错误让许多公司面临巨大风险。他说：“有些错误可笑、愚蠢，而有些却是恶意为之的；不过就连可笑愚蠢的错误也有可能极其危险。”

    Vontu提到了许多糟糕的业务流程。举例说，他们为之提供服务的一家大公司每周平均要招聘400名员工。这些新员工每个人都需要名片。可问题在于，多年来，人力资源部门一直把电子表格副本送到印刷公司，而这些表格上面记录有着员工的社会保障号码、出生日期及其他信息；这样一来，它们就有可能遭到身份失窃。

    数据泄漏预防厂商Verdasys公司的营销副总裁William Munroe说：“如果公司想大幅降低信息丢失的风险，它们就要对数据安全采取注重风险的方法。”

    注重风险的安全方法其核心就是，重新考虑最基本的21世纪的业务流程：数据是创建如何、保存、修改及移动的。实际上，进入到桌面系统及其他端点上的任何数据都面临危险。大多数应用服务器和数据库都得到了相当有效的保护；但极少有任何安全规则负责管理桌面系统上的数据如何操纵、复制及保存。

    一旦数据迁移到了桌面系统上，就可以刻录到光盘上、拷贝到USB驱动器上或者MP3播放器上，还可以用电子邮件发给任何地方的任何人。许多公司已经认识到了一种风险：电子邮件；但即便是在这方面，安全机制仍然更多地针对的是外部风险（垃圾邮件和网络钓鱼等骗局），而不是内部风险。

    要是你保存数据的范围从桌面系统扩大到其他端点，这个问题就更严重了。不妨想想销售点（POS）终端。众所周知、代价惨重的TJX数据泄漏事件就是从POS终端开始泄漏数据的，而这些终端原本是不该保存数据的。

    按照支付卡行业数据安全标准（该标准规定了商家如何处理信用卡数据）的要求，磁条上的个人信息不能收集及保存。遗憾的是，这项明智合理的隐私/安全流程却常常与营销及销售流程相冲突，后者促使许多公司不择手段地收集消费者信息。

    就拿TJX来说吧，不该收集的信息结果被收集了；而且采取了保护不力的方式来保存。

    研究机构阿伯丁集团的安全技术部门调研主任Carol Baroudi说：“每个人都需要大大增强数据的安全意识。公司至少要问一下：数据保存在何处？谁可以访问数据？数据得到了怎样的保护？”