不僅在關(guān)鍵的商業(yè)活動(dòng)期間��,企業(yè)日常經(jīng)營(yíng)活動(dòng)中的泄密事件也會(huì)令企業(yè)付出代價(jià)�。張連起曾為某大型國(guó)企集團(tuán)做過(guò)咨詢服務(wù)�,該企業(yè)的產(chǎn)品實(shí)行上網(wǎng)競(jìng)價(jià),細(xì)分成本數(shù)據(jù)對(duì)其價(jià)格策略至關(guān)重要�����。
然而�,令其備受困擾的是,競(jìng)爭(zhēng)對(duì)手總能報(bào)出比他們的底線價(jià)格更低的價(jià)格���。后來(lái)檢查發(fā)現(xiàn)�����,問(wèn)題的關(guān)鍵在于這家企業(yè)的ERP系統(tǒng)對(duì)接觸信息的人員和權(quán)限控制不嚴(yán)��,很多重要的財(cái)務(wù)數(shù)據(jù)可以為一般的財(cái)會(huì)人員看到��,這就造成了公司關(guān)鍵產(chǎn)品成本的詳細(xì)信息外泄��,所以才總被對(duì)手占得先機(jī)�。
不過(guò),企業(yè)保密甚至高度機(jī)密信息外泄���,并非總是商業(yè)間諜或得內(nèi)鬼所為�����。在摩托羅拉���、佳能等多家跨國(guó)公司工作過(guò)的財(cái)務(wù)經(jīng)理胡明認(rèn)為,企業(yè)重要的商業(yè)信息外流����,有很多原因。
IT從業(yè)人員的流動(dòng)性很強(qiáng)����,跳槽員工會(huì)將積累的知識(shí)經(jīng)驗(yàn)全部帶走��,與原來(lái)的同事保持聯(lián)絡(luò)����,說(shuō)者無(wú)意,聽(tīng)者有心����,會(huì)造成信息泄露����。
很多大型跨國(guó)公司還是有一些比較健全的制度來(lái)保護(hù)其信息安全�,胡明工作過(guò)的兩家跨國(guó)公司就有所不同。
在摩托羅拉�,有專門的信息安全官,而且推行了POPI項(xiàng)目�����,翻譯成中文的意思就是保護(hù)公司專有信息�����。信息都要確定保密級(jí)別��,明確公開(kāi)范圍���,并定期抽調(diào)各部門的人員組成小組檢查�����,違規(guī)員工將被警告甚至通報(bào)批評(píng)����,多次犯錯(cuò)會(huì)影響績(jī)效考評(píng)。
胡明認(rèn)為�����,這套制度會(huì)讓大家腦中繃緊一根弦�,意識(shí)到涉及保密級(jí)別的信息不能輕易對(duì)外披露或吐露。
而佳能中國(guó)則走了另外一條信息防漏路線��。在佳能����,外面的客人必須要在與辦公區(qū)域相對(duì)隔離的會(huì)議室接待,而公司內(nèi)部的會(huì)議則必須要在辦公區(qū)內(nèi)舉行���。
不過(guò)�����,多年的從業(yè)經(jīng)驗(yàn)讓胡明感覺(jué),再好的制度也可能被人有意無(wú)意的打破��。
人不是流水線上的產(chǎn)品���,雖然控制���,但是崗位輪換和員工私下里的討論就會(huì)引起信息共享程度超過(guò)了組織的控制��,胡明說(shuō)�,一般�,公司的老員工都會(huì)對(duì)全盤性的信息多少有些掌握,這是無(wú)法避免和阻止的�����。
不過(guò)��,為了防止保密級(jí)別高的信息在各部門之間私下流動(dòng)�����,一些大公司選擇了信息屏蔽的做法�。比如,上市公司業(yè)績(jī)只是公開(kāi)一個(gè)籠統(tǒng)的數(shù)據(jù)��,真正敏感的�、具體詳細(xì)的財(cái)務(wù)信息只有很少人能夠確切掌握。有些具體項(xiàng)目的信息還會(huì)采用不同會(huì)計(jì)口徑公布�����。
但胡明認(rèn)為,由于公司業(yè)績(jī)同員工個(gè)人福利���、收入增加等切身利益關(guān)系密切��,公司披露給他們一些總體的財(cái)務(wù)情況是必要的�����,但只提供非精確的信息又可以保護(hù)公司的利益�。
而這種做法通常用來(lái)防范財(cái)務(wù)信息向會(huì)計(jì)或財(cái)務(wù)以外的部門不當(dāng)傳遞�����,對(duì)至少掌握部分確切信息的財(cái)會(huì)人員���,就未必能奏效�����。
所以�,胡明覺(jué)得任何一種控制都不是絕對(duì)有效的,而過(guò)度控制和缺乏控制一樣是有害的����。很多時(shí)候��,讓員工有信息安全的意識(shí)和獲得信任關(guān)系的激勵(lì)勝過(guò)任何一種制度防范�。
公司安全大bug:網(wǎng)管
網(wǎng)絡(luò)管理員,MIS人員�����,企業(yè)領(lǐng)導(dǎo)人往往會(huì)挑選一些經(jīng)過(guò)熟人推薦的人選����。
誰(shuí)在窺視老板的郵件
公司的郵件,進(jìn)出都有備份�,但我可沒(méi)這么多閑功夫天天看。這位網(wǎng)上綽號(hào)湯包的年輕人抱怨說(shuō)����。他是一家臺(tái)灣企業(yè)的MIS人員,也就是負(fù)責(zé)管理公司信息系統(tǒng)的人�����。
如今的企業(yè)里,像湯包這樣的技術(shù)人員經(jīng)常都要面臨諸如此類的日常工作--比如進(jìn)行公司資料管理��、信息安全政策的擬定��,協(xié)調(diào)公司內(nèi)部的信息溝通等��。而對(duì)員工的電腦�、郵件(也包括老板的)的檢查同樣是網(wǎng)管及MIS人員的職責(zé)范圍。
這時(shí)�,關(guān)鍵點(diǎn)出現(xiàn)了--網(wǎng)管及MIS人員,成了對(duì)企業(yè)信息安全最為重要的環(huán)節(jié)�����。窺視老板的郵件�、拷貝關(guān)鍵文件……掌握少數(shù)幾位高管才能知道的商業(yè)機(jī)密,似乎在湯包們來(lái)說(shuō)��,僅僅是手到擒來(lái)����,小菜一碟的事情。
疑人不用���,用人不疑��,因?yàn)椴还軗Q任何一位MIS都有可能會(huì)泄密�。湯包認(rèn)為除非公司真的花大錢做一套很嚴(yán)密的保密系統(tǒng),但這樣一定會(huì)對(duì)企業(yè)運(yùn)作帶來(lái)許多不便�。
而按照網(wǎng)管、MIS人員的職責(zé)分�,他們本來(lái)就有權(quán)利去檢查和監(jiān)控使用者的電腦�����、甚至是郵件����。這正應(yīng)了那句信息安全領(lǐng)域里流傳的格言--安全是相對(duì)的,不安全是絕對(duì)的�。也就是說(shuō),安全就好像上保險(xiǎn)�����,上了保險(xiǎn)也不能阻止意外的發(fā)生����。
臺(tái)灣盈晟科技的總經(jīng)理許之堅(jiān)多年來(lái)一直活躍在IT業(yè)界,可謂是資深人士���,他對(duì)企業(yè)信息安全管理更有切身體會(huì)���,信息安全的風(fēng)險(xiǎn)無(wú)處不在��,而且無(wú)法預(yù)期�。有可能一個(gè)操作員在無(wú)意間就把公司重要訊息發(fā)出去并且造成公司致命的危機(jī)���。
而潛在的隱患到底在哪里���?在于企業(yè)各階層的操作人員及主管對(duì)信息安全的認(rèn)識(shí)有不同程度上的差異所致。許之堅(jiān)認(rèn)為在目前亞洲的企業(yè)當(dāng)中���,高管對(duì)信息安全的認(rèn)識(shí)還非常有限���,在這樣差異明顯的信息流通中,風(fēng)險(xiǎn)便變得無(wú)可避免了�����,關(guān)鍵在于老板對(duì)整個(gè)訊息安全的認(rèn)知有多少����。
搜狐網(wǎng)的網(wǎng)絡(luò)安全顧問(wèn)周霖也不同意安全隱患的責(zé)任主要擔(dān)負(fù)在網(wǎng)管和MIS人員身上���,他們不是天生有權(quán)可以看任何資料的,包括EMAIL�����,相反�����,同樣要經(jīng)過(guò)公司授權(quán)或是高層授權(quán)才可以��。他認(rèn)為對(duì)企業(yè)內(nèi)部電腦及網(wǎng)絡(luò)進(jìn)行監(jiān)控��,是技術(shù)人員正常的作業(yè)范圍���,至于保密,有聘用合同可以對(duì)技術(shù)人員進(jìn)行約束��。
確實(shí)�,網(wǎng)管與MIS人員是企業(yè)信息安全中極為關(guān)鍵的人物,而且遍查國(guó)內(nèi)外案例�����,因泄露公司機(jī)密被公開(kāi)曝光的犯案者也寥寥無(wú)幾,看來(lái)��,公司的電腦網(wǎng)絡(luò)技術(shù)人員并非泄密的高發(fā)人群����?
來(lái)自臺(tái)灣的許之堅(jiān)就說(shuō),在商業(yè)競(jìng)爭(zhēng)中�����,對(duì)手竊取公司信息最常見(jiàn)手法便是從買通中層主管�、信息管理人員下手。
一語(yǔ)道破天機(jī)��,之所以被曝光的網(wǎng)管泄密案件不多����,或許僅僅因?yàn)樗麄兊穆毼幌鄬?duì)較低,而且涉案時(shí)往往犯案的中高層人員是媒體關(guān)注的焦點(diǎn)���,記者在查閱相關(guān)資料時(shí)��,便在網(wǎng)上某論壇上發(fā)現(xiàn)一些關(guān)于MIS人員職責(zé)的討論……
說(shuō)句真話啦��,如果真的有權(quán)去看某些重要的資料����,比如機(jī)密EMAIL之類的,我倒是沒(méi)見(jiàn)有哪個(gè)MIS不會(huì)將這種重要信件轉(zhuǎn)一份到自己信箱去的����。--Overcertified
做網(wǎng)管也得認(rèn)清自己的本分,把好自己的分寸�,不然私自看這些資料久了,不定哪天就惹禍上身���。--Huckly
……
不知道作為企業(yè)的高層�����,了解到這些公司的技術(shù)人員如此行為,會(huì)作何感想�����?
因而就有了在招聘某些能接觸到企業(yè)機(jī)密信息的職位時(shí)����,比如網(wǎng)絡(luò)管理員,MIS人員……企業(yè)主往往會(huì)挑選一些經(jīng)過(guò)熟人推薦的人選�,以求可靠和安全����。 就像財(cái)務(wù)�、研發(fā)、市場(chǎng)都會(huì)是老板的自己人一樣���,在臺(tái)灣�����,這種現(xiàn)象也非常普遍���。許之堅(jiān)說(shuō),不過(guò)���,能力還是要列為重點(diǎn)的考量標(biāo)準(zhǔn)���,只是在人情和能力之間,該如何平衡�����,就成為了選人的關(guān)鍵�����。
