最近碰到这样一个人:5年前,他加入北京某咨询公司,5年来,因为个人的努力,工作非常出色,之后这家公司在广州成立了分公司,高层商议决定将公司组建工作交由这个人来做,这个人很出色的完成了任务,但很快他就“背叛”了公司,还在公司门下,却私自接项目、组团队做,并且很多情况下都毫无避讳自己的行为。可能肯定的是,这个人有很出色的能力,能够独自接到项目,他的杀手锏是只收总公司费用的十分之一,而更重要的一点是他掌握了公司很多核心资源(主要是客户),这里,我们不去谈他的行为如何违反了职业道德,或者公司可以追究其法律责任等。我们的疑问是公司这么重要的资源怎么落到了他的手里?如此重要的职位,公司又何以如此信任他?还有,在过去5年里在,他的一言一行都没有“暴露”出他的这一面吗?
俗话讲“日防夜防,家贼难防”,企业常常制定很多的章程、制度来防止“外敌”的入侵,却很少防“内贼”。实际上,越来越多的事件表明,内贼远比外贼可怕。斯诺登事件就是一个广为人知的例子。他曾是美国国家安全局(NSA)的一名合同工,从NSA窃取了敏感信息,予以披露。实际上,通过合法登录,内部人员可以窃取、扰乱或损毁计算机系统和数据,而且不会被那些只防御外部攻击的普通安全解决方案检测出来。因为此类方案的防范重点是网络入口,而非系统内部人员。
内部威胁来源多种多样,可能是刻意为之,也可能是无心之过,有人将所在公司的网络资源用于非法和恶意用途,也有人在无意间造成了安全隐患。他们可能是正式员工(从清洁工到高管)、合同工、或第三方数据及计算机服务供应商。但之于企业,则应该有一套行之有效的预防措施。我们认为,以下几方面应引起企业相关部门的关注:
一、执行强有力内部规章。内部规章须明确规定员工必做和禁止事项,防止内部人员因大意、疏忽或错误带来风险。规章须简明易懂,不仅针对安全和技术专业人员,应该让公司全员都能看到、理解和遵守。规章须适用于组织所有层级,包括高层。同时,要给予员工遵守规章所必须的工具。例如,当有人试图登入含有敏感材料的系统时,系统应具有闪烁报警信息的功能,系统应询问该人是否有权限登入,并记录跟踪那些没有权限的人员。
二、违反规章应该受罚。毫无疑问,如果员工发生出售客户个人信息或有意在公司系统安插恶意软件这类严重违规,应被开除和接受法律制裁。如果是较轻违规,念其初犯,可予以警告并载入员工记录。值得注意的是,企业应帮助员工了解如何安全完成每日任务。可以通过宣讲会和内部交流活动等方式,加强贯彻规章制度,比如在工作场合张贴宣传海报。一些公司也用大屏幕播放视频,展示违反政策导致网络攻击的后果,以及加强可防范攻击的安全操作等等。
三、招聘时防患于未然。最关键的是,利用专门设计的筛查程序和面试技巧,评判候选人的诚信度,例如:犯罪背景调查、查验简历中有无歪曲事实、以及直接考查者道德准则的面试问题。
面试过程中还需要对公司内部信息、资料安全意识进行评估。求职者是否知道内部威胁是什么?何时他才能告诉另一位团队成员密码?在何种情况下,他可以允许团队成员以他的权限使用他本人的电脑?如果候选人其他各方面都很过硬,可以先聘用他们,但一定要马上对其进行组织政策和实践培训。如果所聘用者的工作处于高度敏感环境,那么将其纳入麾下一定要三思。
此外,企业还须勤加管理所有员工的权限,包括那些具有公司系统最高级别访问权限的人,而他们往往最具“潜力”。
网友评论