故事脚本

醉汉在路灯下不停地转来转去找东西，一名路过的警察问他丢了什么，他说家里的钥匙丢了。

警察帮他一起寻找，但在周围来回搜索了几遍都没找到。

警察就问：你的钥匙是在哪里丢的？

醉汉回答说：我出了家门就发现钥匙丢了。

警察大怒，说到：那你为什么在这里寻找？

醉汉振振有辞地说：因为只有这里有光线啊！

从数据安全层面进行解读

“醉汉在路灯下找钥匙”的故事，是人们在遇到问题时的一种常规的反应，这就是所谓的路灯的效果，我们要寻找一个问题的答案，而这里有灯光，于是我们的思维就局限在这里地方。

如今，各大企业或机构数据泄漏事件频繁的发生，企业或机构在应对这类网络安全事件时，大部分也犹如在灯光下找钥匙的“醉汉”：试图在有灯光（明显坐标）的地方寻找答案，即使这个地方是错误的。典型的表现是：企业或机构通常会把注意力集中在输入指标上（例如网络中的恶意软件、系统漏洞），却对输出指标或者网络技术之外的内容视而不见。

当发生数据泄露事件之后，企业或机构应当有一个度量指标，这个指标比其他的因素更重要，但却容易被忽视／无视；你的敏感数据是从你的系统或网络中渗漏到一个恶意攻击者（或者黑客）手中的吗？

这一点非常值得反思。考虑到现实环境中各行业的企业或机构在收集数据时，常常“违背”基本的安全规范，像一条贪婪的蛇，试图吞没一头名为“大数据”的大象。殊不知，这样做也会给自己招来数据泄漏的威胁。安全行业对“数据渗漏”的通常解读是别有用心的攻击者突破企业的网络防线，窃取到企业的敏感数据。但实际上“数据渗漏”只是一个将企业陷入危险境地或困境的结果，甚至有些时候，是企业跳入了自己挖出的坑里。

这里简单的举一个最近遇到的真实例子，假期旅游之前进行酒店预定时，我被要求提供信用卡信息。处理流程中有一个不太引人注目的用户协议，其中有一条阐明会把这些信息同步给一个第三方公司。作为一名在安全行业工作多年的专业人士，我很清楚PCI-DSS（支付卡行业数据安全标准）的相关规范，以这种方式共享敏感信息显然是违反PCI-DSS标准的，所以我停止了预定酒店的行为。如果企业在实际操作中惯于无视数据安全标准规范的话，很可能使公司或个人处于危险之中。因此，诸如业内安全专家都强调，对于一个组织而言，培训员工了解如何保管或监管可能被滥用的敏感数据，是一件非常重要的事。

最近几年，由于数据泄漏导致企业高管引咎辞职的案例屡见不鲜，受殃及的不只是信息泄漏的直接受害人，以及涉事企业的CEO、CIO和CISOs们，还会侵害到各大股东的利益，甚至产生影响到地缘政治的后果。

启迪

为了防止数据渗漏事件的发生，建议企业扩大安全意识的培训范围，在传统的网络安全意识培训外，积极的培养员工的数据安全意识，着眼于“输出”指标，明确企业最具价值的数据的确切位置以及它们可能的渗漏途径。人们通常对所掌握的数据的认识和思考不足，难以区分哪些是敏感的和良性的。

在解决实际问题的时候，先要清楚钥匙丢失的地点，而不是在错误的地方寻找答案。