安全專業人員經常說：如果一家公司認為自己可能遭遇了安全破壞事件，想挽救的關鍵做法就是在需要的地方部署一個反應計劃，或者需要確定誰應該為特定的任務負責。并且，就像SANS研究所講師Lenny Zeltser最近在CSOonline的《如何對意外的IT安全事件做出反應》的文章中說的那樣：“在輕率地下決定前，你一定要問很多很多的問題”。

不幸的是，許多公司直到現在仍然沒有聽取意見，最終跌倒在很多不必要的麻煩面前。

總部位于波士頓的Lorenzi Group LLC公司的數字取證調查員和總裁Robert Fitzgerald發現，在他調查過的很多公司中，Franklin D. Roosevelt說的話是最真實的：公司唯一應該畏懼的東西就是他們自己。

“當見到我們的時候，人們通常都表現得很緊張，并覺得這種事情是個恥辱，因為我們的工作并非瞬間就可結束，”Fitzgerald 說，“我們不是執法人員，確定你們是好人還是壞人不是我們的工作目的。”

但是人們還是感到很緊張，因此他們有意或偶然地做出一些更愚蠢的事情，將公司陷于一個困難的處境中。對法律訴訟恐懼或想要隱藏什么東西的人們往往會用各種各樣的方式篡改證據（看起來好似明智之舉），如重寫文件、重裝系統、把許多其它的數據傳輸到光盤和驅動程序中并且進行徹底刪除，但是實際上這些都會很容易在調查過程中被發現。

為了幫助企業避免這種情況的發生，Fitzgerald最近和CSOonline的人坐在一起，概述了五個可以采取的辦法來確保調查的順利進行，并且不會對公司的名譽造成影響。

1、做出反應要迅速

當一家公司請來Fitzgerald的工作人員時，我們的目標是在時間上足夠地謹慎，以便事實可以盡早被發現，盡早做出正確的措施。當調查人員到來的時候，如果公司還沒有做好相應的準備，那么很多事情會礙手礙腳。所以，如果當時你手中拿著如下的資料，將會對調查起到十分重要的作用：員工手冊，關于誰可以做什么和用哪臺機器工作的規則，公司和個人的電子郵件，以及計算機軟件和硬件。

“數據是流動的，而且它移動的速度很快，因此，我們也必須動作快一些，”他說，“如果你們今天早上給我們打電話，我們希望今天早上就可以趕到你們公司所在地。因為你等待的時間越長，數據被破壞的可能性就越大。當我們在有法律顧問在場的情況下為你們提出建議的時候，我們認為我們的建議對你們來說一定是最好的。”

Fitzgerald表示，不要阻礙我們的調查。他和他的團隊知道他們在做什么。“我們有過很多次這樣的經歷，調查人員在那里等待的時候，那里的員工就不見了。我們需要所有的計算機以及使用和受到影響的驅動程序，并且會詢問，為什么你們認為這些東西被影響了。清楚地知道為什么機器被感染是很重要的事情。”他說，“我們希望看到員工手冊。這將幫助我們確定員工工作時需要遵守的規則。我們需要看到那些受到你們懷疑的員工的名字和電子郵件，無論是工作之用還是個人用途。你應該僅僅用個人電子郵件地址做緊急情況的使用。我們需要這些東西，因為員工通常使用個人電子郵件帳戶將敏感數據傳輸到公司之外的地方。”

2、不要碰任何東西

當公司發生可疑的違規事件時，在驚恐的情況下，篡改數據的沖動是不可抗拒的。數據經常被那些企圖隱藏什么的惡意的內部人員損壞了。但是，很多時候罪魁禍首是一個在驚慌中不小心破壞數據的誠實的人，或者在他們意識到自己在做什么之前做了錯事的人，因為恐懼已經控制住了他整個人。

Fitzgerald表示，不管動機如何，調查人員都會很輕易地發現你之前所做的事情。

“這是不值得的。如果我們調查出你試圖摧毀數據，你將有牢獄之災的風險。”他說，“無論你是否做了錯事，如果你篡改數據你都將會面臨麻煩。”

他講述了一個這方面的例子，以前有個人帶走了40G的硬盤驅動器并且下載了10部電影到里面，然后在沒有破壞硬盤驅動器的情況下刪除了這些電影。“人們會買DVD來盡他們最大可能地下載電影，然后他們把電影刪了繼續用來儲存數據。我們可以查出下載的數據和相關日期，我們可以對網上做的事情和離線做的事情進行對比。”他說。

人們試圖重裝系統，但是調查人員還是可以看到一些數據的碎片，就像查出下載數據到硬盤驅動器時的日期一樣。“我們看到，你知道公司將面臨法律訴訟，于是你企圖對證據進行毀棄。”他說，“所有我們需要的就是，看到數據的一個碎片：你試圖重裝操作系統。法官和地方檢察官對你要做的這些事情已經有了足夠的意識，他們一開始就會向你們索要這些活動的證據。”

3、請律師來幫忙

公司高管往往很長時間才請來法律顧問進行幫助。這樣做其實是不利的，Fitzgerald表示，因為律師是站在你這一邊的，他們可以幫助你構建一個完善的規劃，以盡量避免公司陷入困難。

“當你們請來律師的時候，從精神上來說，這讓問題變得真實起來。”他說，“對于那些沒有勇氣的主管來說這是可怕的。”

最好的辦法是收集每一bit的可能有所幫助的信息，將他們交給法律顧問并讓他們拼湊故事。

4、大張旗鼓或悄無聲息

公司應該在開始的時候就做出決定，他們是希望調查人員大張旗鼓地來到公司還是悄無聲息地來到公司。正確的方法取決于公司認為自己面臨的是什么樣的困難。

“當我們來到一家公司的時候，我們有時候發現有些事情已經被準備好了，設備裝箱了，箱子正用車推著，看起來我們好像要獵殺外星人一樣，他們把事情搞得過度夸張。或者他們讓我們安安靜靜地來，以一種我們都沒聽說的方式。”他說。如果公司聞到了老鼠的氣味，大張旗鼓的方法可用來讓那些知道事實真相的員工頓時慌亂起來。

“公司想要表演一個這種例子，”Fitzgerald說，“他們有個頗為不錯的想法，認為可能是哪個員工或者員工團隊離職了，到競爭對手那里另謀高就了。他們想要讓我們知道他們有著嚴格的控制和權力，那些想要盜竊公司信息的人是終將被抓到的。”

多半的公司都會要求我們悄無聲息地來插手這些事情。Fitzgerald表示，如果他的工作團隊是謙遜和友好的，并且在會議室旁邊建立商店，三小時之內工作就可以完成，并且把數據帶回實驗室，員工通常都不會做違反公司規定的事情。

“如果某個人仍然在該公司任職，你想要安靜的進行調查，那么就在晚上或者是周末。在他們知道他們正在解決的是什么問題，以及可能的責任是什么之前，他們不想把這件事情搞得很大。”

5、對員工進行教育

Fitzgerald表示，教育是確保人們遵守規定的最好的方式。

“對員工進行教育太重要了，”他說，“如果他們知道哪些事情是他們可以做的，哪些是不可以的，以及了解公司技術規則所在，事件發生的可能性就會大幅下降了。”