论文部分内容阅读
我们已经习惯了看到个人身份信息(PII)泄露的新闻。公司是否需要采取安全措施防止PII落入坏人之手呢?
似乎每一天,我们都能听到关于某政府机关、教育机构或知名公司泄露了敏感信息的消息。这些信息通常是个PII,包括社会保险号码、驾驶执照信息、银行账号和信用卡号、医疗记录等。
如果某机构泄露了敏感的信息,其品牌和声誉定会受到影响,这才是他们尽力保护个人信息的最大动力。没有哪家公司愿意看到自己的名字因为泄露信息而上了报纸、电视或广播的头条新闻。
另外,很多规定利用罚款或监禁的惩罚措施来强迫组织机构保护PII。有些规定是针对某个行业的,比如针对银行和信用合作社的金融服务现代化法案(HGLBA)、针对医疗和保健机构的健康保险流通与责任法案(HIPAA)。还有些法律规定的涉及面更广,比如支付卡行业的数据安全标准,对任何处理信用卡号码的组织都有约束力;加利福尼亚违反安全信息法(SB-1386),要求加州的公司披露所有信息泄露事件。
显然,无论是为了防止PII落入坏人之手,还是单纯地为了避免泄露信息所要承担的责任,企业都越来越积极地部署安全措施。但实施安全措施是一项巨大的工程,这涉及到大量不同格式的个人数据,既包括Excel文件,也有XML文件。即使在监管有力的行业中,要辨别网络中可能诱发风险的内容也需要很大的投入。况且,仅仅维护现有的安全措施就已经很麻烦了。
在过去的10年里,IT安全人员的主要任务就是阻止外部攻击,比如黑客或木马,它们可以渗透网络,窃取重要的内部财产信息。最近,它们工作的重点转移到了如何应对内部威胁以及防止重要信息泄露。法律规定的调整是他们工作转变的重要因素。如今,各个行业的组织机构,甚至包括那些不直接受法规影响的行业,都在采取一系列措施保护PII。
企业、教育机构和政府部门会更加倾向于基于技术的解决方案,以发现和监控重要的PII。客户也可以要求了解他们的技术能力,万一信息泄露,可以进行事后分析,研究信息是如何泄露的。这些研究可以帮助组织机构强化PII保护措施,以减少将来信息泄露的风险。
似乎每一天,我们都能听到关于某政府机关、教育机构或知名公司泄露了敏感信息的消息。这些信息通常是个PII,包括社会保险号码、驾驶执照信息、银行账号和信用卡号、医疗记录等。
如果某机构泄露了敏感的信息,其品牌和声誉定会受到影响,这才是他们尽力保护个人信息的最大动力。没有哪家公司愿意看到自己的名字因为泄露信息而上了报纸、电视或广播的头条新闻。
另外,很多规定利用罚款或监禁的惩罚措施来强迫组织机构保护PII。有些规定是针对某个行业的,比如针对银行和信用合作社的金融服务现代化法案(HGLBA)、针对医疗和保健机构的健康保险流通与责任法案(HIPAA)。还有些法律规定的涉及面更广,比如支付卡行业的数据安全标准,对任何处理信用卡号码的组织都有约束力;加利福尼亚违反安全信息法(SB-1386),要求加州的公司披露所有信息泄露事件。
显然,无论是为了防止PII落入坏人之手,还是单纯地为了避免泄露信息所要承担的责任,企业都越来越积极地部署安全措施。但实施安全措施是一项巨大的工程,这涉及到大量不同格式的个人数据,既包括Excel文件,也有XML文件。即使在监管有力的行业中,要辨别网络中可能诱发风险的内容也需要很大的投入。况且,仅仅维护现有的安全措施就已经很麻烦了。
在过去的10年里,IT安全人员的主要任务就是阻止外部攻击,比如黑客或木马,它们可以渗透网络,窃取重要的内部财产信息。最近,它们工作的重点转移到了如何应对内部威胁以及防止重要信息泄露。法律规定的调整是他们工作转变的重要因素。如今,各个行业的组织机构,甚至包括那些不直接受法规影响的行业,都在采取一系列措施保护PII。
企业、教育机构和政府部门会更加倾向于基于技术的解决方案,以发现和监控重要的PII。客户也可以要求了解他们的技术能力,万一信息泄露,可以进行事后分析,研究信息是如何泄露的。这些研究可以帮助组织机构强化PII保护措施,以减少将来信息泄露的风险。