Jim Kegley是位于亞特蘭大的美國Micro公司創(chuàng)始人和公司總裁。該公司自1995年以來一直與不斷淘汰陳舊IT設備的世界500強公司展開合作。他們的設備在銷毀數(shù)據(jù)后仍可以原價的9折出售 。Kegley說該公司在拉斯維加斯的制造工廠可以改造這些大企業(yè)的淘汰設備，從而獲得剩余的10％的利潤。

 　　Kegley與醫(yī)療IT新聞網(wǎng)共同列舉了孤立IT系統(tǒng)的五大相關風險：

存儲介質離開公司后，數(shù)據(jù)并沒有銷毀

　　Kegley指的是馬薩諸塞州醫(yī)院去年報失備份磁帶丟失，而磁帶的數(shù)據(jù)尚未銷毀。 “這是我們目前看到的最危險的行為”，他說。他的公司認為應該銷毀現(xiàn)場的所有數(shù)據(jù)，以防止這種情況發(fā)生。另外一個例子是哥倫比亞廣播公司關于購買二手復印機的故事。哥倫比亞廣播公司購買的機器非常便宜，他們發(fā)現(xiàn)其中一臺機器購自紐約的一家保險公司，而復印機記錄了300頁個人醫(yī)療記錄。

　　Kegley稱，復印機買家大部分來自海外。 “在我看來購買該設備的人都是意在尋找對他們有價值的數(shù)據(jù)，如社會保險號碼，”他說?？赡芏嗄暌院蟛艜┞端麄兊闹虢z馬跡，而且很難追蹤，他補充道。

對如何處理報廢設備資產(chǎn)缺乏認識和教育

　　“由于移動設備的大量布署，老的設備資產(chǎn)正在退役，”Kegley認為。“隨著老化設備的不斷增加，二手IT設備市場越來越火爆。”但是數(shù)據(jù)銷毀是一個巨大的問題。Kegley列舉了新澤西州最近發(fā)生的事情:新澤西拍賣出售個人電腦，接近80％的設備仍然保存著數(shù)據(jù)，甚至包括兒童福利記錄。“國家認為實施數(shù)據(jù)安全保障的費用超出了設備的價值，”他說。 “這是一個非常普遍的心態(tài)。”而不幸該論點正在合法化，Kegley說。 “他們對于泄露的信息沒有記錄，因此沒有人知道問題究竟有多么嚴重。”

缺乏內部控制和審計跟蹤

　　“大多數(shù)組織都無法明確列出所有數(shù)據(jù)存貯設備及他們都貯存了哪些數(shù)據(jù)，”Kegley說。而他的公司可提供設備審計報告，組織檢查設備，以及檢查員工是否遵守該公司的數(shù)據(jù)安全策略。例如，有一個針對所有筆記本電腦的審計能夠揭示出其中的加密方式，哪些人的電腦沒有加密，另一個很普遍的問題是，電腦可能已經(jīng)被加密，但該公司在電腦上記錄了設備密碼，“在這種情況下，密碼被破解的可能性很高，”Kegley說?；蚴且恍┕菊J為，他們的筆記本電腦有密碼保護意味著他們不需要對其進行加密。他舉了個例子，最近的BP丟失了筆記本電腦，電腦數(shù)據(jù)沒有加密，但有密碼保護。“這個破解僅僅需要約五分鐘就能獲取密碼，”他說。

大腦要確定一種思維定式，處理報廢IT設備存儲的數(shù)據(jù)只能通過一種方法

　　Kegley給出了田納西州的BlueCross BlueShield 57例硬盤驅動器被盜案例。丟失硬盤驅動器的信息不久就被其從網(wǎng)站上刪除和銷毀。“問題在于，它是一個比車鑰匙更容易丟失的設備，”他說。“一旦你分離設備驅動器，它便成為一個非常棘手的問題。”它的成本不過7美元，而其保險人保單價值則高達上萬美元，而且很難確定數(shù)據(jù)位于哪些驅動器上。“您可能需要采用不同的技術，根據(jù)不同的設備，一個解決方案并不適合所有人。”

隨著新興技術的應用，越來越多的人包括IT專業(yè)人士正在步入一個誤區(qū)，美國國防部（DoD）的數(shù)據(jù)刪除標準并不能確保安全

　　Kegley舉例，“某公司的BlackBerry設備可能已經(jīng)被加密，然而不難發(fā)現(xiàn)微型SD卡的設備內部沒有加密（ps：我們已經(jīng)發(fā)現(xiàn)16千兆字節(jié)能力的加密微型SD卡面市）。”因此，如果這個設備丟失或被盜，個人信息將處于危險之中，即使你徹底銷毀數(shù)據(jù)，仍可以通過軟件回收microSD卡的數(shù)據(jù)。“因此我們推薦將介質物理破壞，因為目前沒有其他更為可靠的方法銷毀數(shù)據(jù)。有些人總是把數(shù)據(jù)泄密的責任推給設備制造商，”凱格利說。“如果一個組織本身不能做到數(shù)據(jù)保密，就應該聘請外部機構這樣做，”他補充道。