在多次的系統(tǒng)數(shù)據(jù)泄漏導(dǎo)致其至少1億客戶的敏感數(shù)據(jù)暴露之后，SONY公司設(shè)立了一個首席信息安全官職位，并正在實施額外的防火墻和其它安全保護措施。

該公司是一系列與知名度高的數(shù)據(jù)泄漏作斗爭的公司之一，數(shù)據(jù)泄漏在2011年的頭幾個月讓這些公司處境艱難。RSA是EMC公司的安全部門，它仍在調(diào)查一個可能已經(jīng)使其最珍貴的資產(chǎn)——知識產(chǎn)權(quán)暴露的數(shù)據(jù)泄漏。市場服務(wù)公司Epsilon Data Management，負責(zé)為包括RSA在內(nèi)的許多主要公司處理客戶郵箱地址和其它信息，它也經(jīng)歷了嚴(yán)重的系統(tǒng)數(shù)據(jù)泄漏。

Sony公司的高管們已為他們的安全過失道歉，并將為客戶提供免費的信用監(jiān)控，這是跟蹤數(shù)據(jù)泄漏的一個標(biāo)準(zhǔn)措施。但是，安全專家表示，Sony的泄漏暴露出了太多問題，包括公司無法將客戶的敏感支付數(shù)據(jù)與其系統(tǒng)的其它數(shù)據(jù)隔離。Sony的初始泄漏影響到了其PlayStation網(wǎng)絡(luò)的7700萬用戶。而在一周之后，該公司透露，依賴于其在線娛樂部門的一個服務(wù)器也被暴露了，該服務(wù)器可以追溯到2007年的信用卡信息，此次事故可能會影響到另外的2400萬人。同時，在日本的第三次系統(tǒng)數(shù)據(jù)泄漏會影響到超過幾百萬的Sony客戶。

專家表示，最近的數(shù)據(jù)泄漏表明企業(yè)需要對數(shù)據(jù)安全進行更好的管理。安全顧問公司Holmquist Advisory的總裁Eric Holmquist說道，很多時候，公司注重于基礎(chǔ)架構(gòu)和系統(tǒng)安全改善，但卻不能獲取存儲在遠程系統(tǒng)上的數(shù)據(jù)清單。

“我已經(jīng)看到許多這樣的情況，人們可以證明所有的技術(shù)、所有的程序以及所有的政策，但當(dāng)你說，‘太好了，數(shù)據(jù)清單在哪里呢？’然后你就會得到茫然凝視。”Holmquist說，“經(jīng)常需要一個重大事件才能使人們把事情做得更好，這是很不幸的。”

Jon Gossels是咨詢公司SystemExperts的總裁和首席執(zhí)行官，他建議所有公司，無論大小，都拿自身與ISO 270002對照。該框架可以幫助公司對其安全政策進行正式化，從而更緊密的管理他們的資產(chǎn)，并把操作管理、風(fēng)險分析和訪問控制連接起來。

“理解你的業(yè)務(wù)應(yīng)該以什么方式運作以及它實際是怎么運作的，并找出兩者間的差距。”Gossels說道。

Gossels表示，Sony的數(shù)據(jù)泄漏與其它公司的泄漏存在相同之處。通常情況下，各公司不會運行最新的軟件。即使它們運行的是更新的軟件，一個配置錯誤也可以引起缺陷，他說道。據(jù)2011年的Verizon數(shù)據(jù)泄漏調(diào)查報告稱，幾乎所有被分析的數(shù)據(jù)泄漏都利用了配置缺陷或“系統(tǒng)/應(yīng)用程序的固有功能”。事實上，Verizon發(fā)現(xiàn)，在381件泄漏中只有五個被利用的漏洞歸咎于黑客。

參照RSA的數(shù)據(jù)泄漏事件，“我們發(fā)現(xiàn)，在當(dāng)前，即使是那些在安全方面很擅長的公司也非常容易受到攻擊。”Gossels說道，“現(xiàn)在，有組織犯罪猖獗，還出現(xiàn)了敵對的外國政府以及工業(yè)間諜等事件；攻擊者們正試圖做一些難以發(fā)現(xiàn)的事情。”

在很多情況下，各組織正在做更好的補丁工作，但是極少數(shù)工作是用來解決舊系統(tǒng)中的軟件漏洞問題，Bill Curtis這樣說道，他是IT軟件質(zhì)量協(xié)會的主管和合伙人。即使SQL注入、跨站點腳本以及緩沖區(qū)溢出等漏洞被找到并修補了，一個堅定的黑客也會找到他的入侵方法，Curtis說道。他認(rèn)為，公司需要對他們的系統(tǒng)執(zhí)行一個更徹底的代碼審查，同時保持一個更好的配置管理程序。

“一旦你將你的應(yīng)用程序暴露在網(wǎng)絡(luò)上，你就會與你可能不認(rèn)識的人存在各種難以預(yù)料的互動，”Curtis說，“一個支付系統(tǒng)不會希望被連接到一個用于游戲世界的系統(tǒng)。”