不用花钱 教你九项企业级安全防护措施(3)

　7. 装好安全补丁并不等于高枕无忧

　　随着涉及IT和数据安全人士的法规措施越来越多，许多公司投入大笔资金用于技术性解决方案，以堵住漏洞。但它们通常以为，采用某项技术或者符合某个方面的法规就能高枕无忧了，事实并非如此。

　　Security Incite公司的分析师Mike Rothman说: “我看到的最主要问题就是，人们以为采取部署反病毒软件、打上补丁和运行漏洞扫描之类的简单措施后，就真正符合要求了。他们并没有从风险管理的角度来看待问题。”

　　不少公司审查了数量有限的安全补丁，得到及格分数后就认为再也不需要加强工作。Rothman说: “人们常常以为，一旦进行了积极审查，就大功告成了。之后，黑客们会证明其实并非如此。”

　　8. 安全问题不能”一视同仁“

　　Rothman表示，公司常常会掉入另一个与法规遵从有关的安全陷阱: 不管IT系统对公司的安全和成功具有的重要性如何，一律投入同样的精力或者费用来保护。

　　他说: “有些人犯的错误就是，对所有安全问题‘一视同仁’; 为保护只有五人使用的旧应用系统所投入的时间和资金与为保护所有客户使用的在线应用系统所投入的一样多。”

　　这种做法浪费了资金，一旦预算花光，以后还会留下更严重的问题。Rothman说: “安全人员常常不知道如何优先处理重要问题。他们应当关注假设具体某个方面出现泄密会有什么样的后果，然后再考虑如何设定开支。”

　　9. 放弃不该保存的数据

　　另一种常见情形给安全人士和法规遵从人士带来了灾难，那就是: 许多处理信用卡和借记卡的公司对保存账户信息的交易日志系统不设防，任由这些交易日志开着，这会导致客户数据泄密。

　　Roop说: “这些被无意识保存下来的数据可用来伪造信用卡，被黑客或者不怀好意的员工所利用。”Roop说，连没有收集信用卡数据的公司也要确保只保存现阶段开展业务所需的信息。他忠告，如果没有保存信息的明确需要、却保留了可能被攻击者利用的信息，那是自找苦吃。如果数据非要保存，应该确保为此制订了保护措施。