人員流動是任何企業(yè)都無法避免的事情,包括人員離職流失和內(nèi)部崗位變動。正常的人員流動有利于企業(yè)獲得新的人力資源和技能。但這一流動的過程卻會給企業(yè)的IT信息安全帶來巨大的挑戰(zhàn)。因為當(dāng)人員流動時,也就意味著代表公司巨大價值的IT信息資產(chǎn)也會隨之發(fā)生流動,例如某些機密信息沒有被交接或者被非法竊取。
最近,筆者參加了一個本地的CIO沙龍研討會,現(xiàn)場調(diào)查顯示幾乎有一半的人員承認在離職時會帶走原公司的資料,包括工作文件、技術(shù)資料等相關(guān)電子文檔。調(diào)查還發(fā)現(xiàn)有65%的人員可以輕松地下載一些“有競爭力”的資料和信息,然后帶到下一份工作中為自己求職加薪,更可怕的是這些資料中有大部份并不是他所負責(zé)的資料。因此,CIO應(yīng)該要采取有效的措施來保障人員流動時IT信息的安全。以下是保障IT信息安全的幾個有效措施:
1.IT信息安全策略須重視人員權(quán)限
俗話說,道高一尺,魔高一丈。大多數(shù)人誤解了以為阻止即時通訊、電子郵件以及外部存儲設(shè)備的使用,就不必擔(dān)心資料外泄。事實上這只是技術(shù)上的限制,CIO在制定IT信息安全策略時應(yīng)要把人員權(quán)限作為一個重要的關(guān)注點。因此,CIO應(yīng)要把信息安全的人員權(quán)限看作是一種公司運營層面的挑戰(zhàn),而不僅僅是技術(shù)層面上的挑戰(zhàn)。也就是說,針對人員流動時的IT信息安全問題,不僅僅是硬件和軟件的限制問題,最終更是人的問題。
2.建立人員流動的規(guī)范化信息安全制度
雖然人員流動使得IT信息安全事件時有發(fā)生,給企業(yè)帶來了損失。但最為可惜的是,大多數(shù)企業(yè)的CIO和IT管理人員往往只是在安全事件發(fā)生后捶胸頓足、哀聲長嘆。在我多年的IT從業(yè)經(jīng)驗中,真把人員流動時的IT信息安全當(dāng)作一件大事來抓的CIO還真是不多。或即便是考慮了IT信息安全,也僅僅是從技術(shù)角度層面來考慮,真正從管理制度角度來考慮信息安全的較少。更令人擔(dān)憂的是不少CIO對于人員流動時的信息安全問題根本是熟視無睹,只是交給人力資源部門來簡單處理。因此,IT部門必須明確哪些信息是離職人員可以帶走的,哪些必須要交接和保密的,要建立規(guī)范化的人員流動信息安全制度,要上升到制度化的管理上來。
3.監(jiān)控高風(fēng)險用戶和高價值信息的合規(guī)使用
有時公司需要積極地監(jiān)視某些角色,特別是這些角色對企業(yè)會造成極高的IT信息安全風(fēng)險,企業(yè)要時時監(jiān)視以便發(fā)現(xiàn)其潛在的“不可接受”的行為。例如,一位開發(fā)經(jīng)理為謀求一個職位可能會將他能夠訪問的敏感信息帶到另外一家競爭公司那里去,這種情況下他的訪問或許是被授權(quán)的,不過卻應(yīng)該監(jiān)視他是否存在著濫用或非法使用的行為,以避免這些高風(fēng)險人員在流動前有意識的下載一些不屬于他負責(zé)的重要機密信息。因此,監(jiān)控高風(fēng)險用戶和高價值機密信息的合規(guī)使用,采取防患于未然的預(yù)防式手段是防止其流動時造成IT信息安全事件的有效方法之一。
4.加強對移動設(shè)備和電子郵件的管理
常見的移動設(shè)備如筆記本電腦、掌上電腦、智能手機、USB設(shè)備等,它們給信息存儲與轉(zhuǎn)移提供了非常大的便利,但是它們對于企業(yè)的信息安全也帶來了非常大的隱患。因此。CIO需要清楚認識到移動設(shè)備不只是方便使用的工具之一,也是關(guān)乎IT信息安全的問題。另外,互聯(lián)網(wǎng)時代電子郵件在企業(yè)內(nèi)外部的溝通中,一直扮演著十分重要的角色,但是郵件造成的IT信息安全風(fēng)險事件也正在增多。因此,CIO對移動設(shè)備和電子郵件應(yīng)該要進行一定程度的監(jiān)管。事實上,要避免郵件安全事件的方式可以是很簡單的,只要把郵件在服務(wù)器進行備份,并制定技術(shù)掃描和IT安全分析是否存在濫用,就可以有效的避免員工通過郵件竊取機密資料。
5.以防為主,加強員工IT信息安全教育
人們普遍認為IT信息安全只是IT部門的事情,其實這并不符合實際情況。事實上所有的員工都會是IT信息安全的威脅。大多數(shù)的員工都會在流動時或多或少的將企業(yè)的重要資料外帶,主因是大多數(shù)員工對其行為的危險性不以為然,或是根本就不了解公司的IT信息安全策略,或是不清楚哪些資料在人員流動時不能外泄和外帶。因此,在人員越來越流動的今天,有效的做法是要給員工進行相關(guān)培訓(xùn),告知員工哪些資料是機密資料應(yīng)該要慎重處理。IT信息安全責(zé)任存在于公司的各個員工之中,應(yīng)該要做到防微杜漸,以小見大。
IT信息安全問題人人有責(zé),因為任何一個人都有可能會離職流失或內(nèi)部流動。在人員流動時,一場保衛(wèi)企業(yè)信息安全的新戰(zhàn)役已經(jīng)近在眼前,這是一個不容忽視的問題,也是關(guān)系到企業(yè)利益是否受損的重大事情。
