借助外部的力量

很多公司，尤其是那些没法雇用专职IT专家的中小企业，正在从第三方安全服务提供商处寻求帮助。

Baker表示，Mediaocean引入了一家专业公司提供入侵检测和其他安全防护技术，该公司还会定期在受控模式下尝试对Mediaocean的系统进行攻击测试。

“他们会试图找到那些存在于公网上的漏洞。”Baker解释到：“我强烈认为不应该由企业自己进行测试，而是要找第三方公司来做，因为他们才是整天和数据安全打交道的人。”

据Beckley所称，Appian的很多客户在推进代码定制项目，同时结合其他平台技术和云计算技术，以此达成减少内部漏洞的目的。除此之外，这样做还能有效控制外部厂商和合作伙伴对敏感系统的访问。

“每当程序员完成一行代码，可能就增加了一个新的漏洞。”Beckley表示：“尽管平台并非完美无缺，但毕竟是一种简化系统、消除潜在隐患的途径。”

　　灾备规划

CIO们知道完全防止攻击几乎是不可能的，因此，制定事故发生之后的应对计划是必须的。

“不要天真地以为能够完全预防事故发生，你必须假定它在某一时刻会发生。”Baker说：“于是，除了尽量预防之外，你还需要在攻击发生之后加以应对并把损失降低到最小程度。这一点与过往大不相同，以前你可能会在这方面缺乏事前的规划。如今，必须要制定事后补救的措施。”

Heiser认为，在针对数据事故做规划时，无须太在意问题发生的原因，重点要关注如何处理应对。

“业务连续性规划的好处就在于你不用去预测，不管是洪水、黑客或外星人造成了服务的中断，你的关注点始终都是评估损失以及如何让业务尽快恢复。”Heiser说。

当网络攻击发生之后，对其的清除通常会造成业务的中断，尤其是当企业不得不暂时停止运转时。

根据Ponemon Institute(专注于数据保护、隐私泄露和网络安全方面的研究机构)的评估，数据泄露所导致的损失在去年上升了23%。平均来说，每次遭受攻击之后，一个大型企业需要花31天，平均每天2万美元来清除威胁和修复系统。

“这是一个非常复杂的过程，有时不得不聘请外部的专家进行协助。”Ponemon说。

有些损失是显而易见的，比如调查事故和通知客户的成本，而且企业还让自身名誉和未来前途受损，当业务恢复时间过长时还需要对客户进行赔偿。鉴于时间也是成本之一，Ponemon的CIO建议在连续性规划中要有如下规定，哪些应用在攻击发生时必须停止，而哪些应用则可以继续运行。

“以汽车的构造为例，如果发生了车祸，前挡板可能会被撞坏，但是乘客的生命则被挽救了。同理可推，在事故发生时，你需要舍得放弃一些东西。”这位CTO解释到。他所在的企业就是这么做的，在需要时将关键的应用隔离出来，其他部分则当成汽车的前挡板即可。

“如何才能关掉部分系统，让入侵者获取控制权但无法再进一步渗透？这就看你如何进行系统分解来做到带问题运转了。”他说。

　　对未知的恐惧

到底IT安全防护的难度在哪，甚至导致企业领袖都会为之焦虑。原因就在于未知性：不知道安全事故是否发生，即便近在咫尺也是如此。

“数据安全事故犹如头顶悬剑，不知道什么时候会落下来。大多数的数据泄露其实没有被发现。”Heiser表示。

根据Ponemon Institute调查，发现一个数据安全事故平均需要170天，如果有内部人员的参与，这个时间会延长到260天。

“有些内部人员会窃取数据，而你很难发现他们。”Ponemon说：“有些公司从来都没察觉信息被泄露了。”

因此，CIO和其IT团队需要花足够的资源(时间、金钱和精力)去调查其他公司发生的安全事故，从而以此为镜，清查自身的漏洞，防止自己成为下一次数据泄密新闻的主角。

CIO们都承认，新的技术和对安全行为模式的强制培养肯定能帮助保护数据安全。但是，这些IT领袖也强调，没有任何系统能够完全防止错误的发生。Appian的Beckley认为，在安全领域，没有万能的灵丹妙药。

“我们永远不能放松，这些安全事故时刻提醒我们要抱有谨慎的态度，进行持续的监控和预防。”他说：“这就是一场军备竞赛，永远没有赢家，只有尽可能不成为失败的一方。”

(责任编辑：安博涛)