避免泄露機密信息

我們已經習慣了看到個人身份信息（PII）泄露的新聞。公司是否需要采取安全措施防止PII落入壞人之手呢？

似乎每一天，我們都能聽到關于某政府機關、教育機構或知名公司泄露了敏感信息的消息。這些信息通常是個PII，包括社會保險號碼、駕駛執照信息、銀行賬號和信用卡號、醫療記錄等。

如果某機構泄露了敏感的信息，其品牌和聲譽定會受到影響，這才是他們盡力保護個人信息的最大動力。沒有哪家公司愿意看到自己的名字因為泄露信息而上了報紙、電視或廣播的頭條新聞。

另外，很多規定利用罰款或監禁的懲罰措施來強迫組織機構保護PII。有些規定是針對某個行業的，比如針對銀行和信用合作社的金融服務現代化法案（HGLBA）、針對醫療和保健機構的健康保險流通與責任法案（HIPAA）。還有些法律規定的涉及面更廣，比如支付卡行業的數據安全標準，對任何處理信用卡號碼的組織都有約束力；加利福尼亞違反安全信息法(SB-1386)，要求加州的公司披露所有信息泄露事件。

顯然，無論是為了防止PII落入壞人之手，還是單純地為了避免泄露信息所要承擔的責任，企業都越來越積極地部署安全措施。但實施安全措施是一項巨大的工程，這涉及到大量不同格式的個人數據，既包括Excel文件，也有XML文件。即使在監管有力的行業中，要辨別網絡中可能誘發風險的內容也需要很大的投入。況且，僅僅維護現有的安全措施就已經很麻煩了。

在過去的10年里，IT安全人員的主要任務就是阻止外部攻擊，比如黑客或木馬，它們可以滲透網絡，竊取重要的內部財產信息。最近，它們工作的重點轉移到了如何應對內部威脅以及防止重要信息泄露。法律規定的調整是他們工作轉變的重要因素。如今，各個行業的組織機構，甚至包括那些不直接受法規影響的行業，都在采取一系列措施保護PII。

企業、教育機構和政府部門會更加傾向于基于技術的解決方案，以發現和監控重要的PII。客戶也可以要求了解他們的技術能力，萬一信息泄露，可以進行事后分析，研究信息是如何泄露的。這些研究可以幫助組織機構強化PII保護措施，以減少將來信息泄露的風險。