不僅在關(guān)鍵的商業(yè)活動期間,企業(yè)日常經(jīng)營活動中的泄密事件也會令企業(yè)付出代價�����。張連起曾為某大型國企集團做過咨詢服務(wù)����,該企業(yè)的產(chǎn)品實行上網(wǎng)競價,細分成本數(shù)據(jù)對其價格策略至關(guān)重要����。
然而,令其備受困擾的是���,競爭對手總能報出比他們的底線價格更低的價格���。后來檢查發(fā)現(xiàn),問題的關(guān)鍵在于這家企業(yè)的ERP系統(tǒng)對接觸信息的人員和權(quán)限控制不嚴�����,很多重要的財務(wù)數(shù)據(jù)可以為一般的財會人員看到����,這就造成了公司關(guān)鍵產(chǎn)品成本的詳細信息外泄��,所以才總被對手占得先機���。
不過�,企業(yè)保密甚至高度機密信息外泄,并非總是商業(yè)間諜或得內(nèi)鬼所為�。在摩托羅拉、佳能等多家跨國公司工作過的財務(wù)經(jīng)理胡明認為��,企業(yè)重要的商業(yè)信息外流��,有很多原因��。
IT從業(yè)人員的流動性很強�,跳槽員工會將積累的知識經(jīng)驗全部帶走,與原來的同事保持聯(lián)絡(luò)���,說者無意���,聽者有心,會造成信息泄露�。
很多大型跨國公司還是有一些比較健全的制度來保護其信息安全,胡明工作過的兩家跨國公司就有所不同。
在摩托羅拉��,有專門的信息安全官�����,而且推行了POPI項目�,翻譯成中文的意思就是保護公司專有信息。信息都要確定保密級別�����,明確公開范圍����,并定期抽調(diào)各部門的人員組成小組檢查,違規(guī)員工將被警告甚至通報批評��,多次犯錯會影響績效考評����。
胡明認為,這套制度會讓大家腦中繃緊一根弦����,意識到涉及保密級別的信息不能輕易對外披露或吐露。
而佳能中國則走了另外一條信息防漏路線。在佳能���,外面的客人必須要在與辦公區(qū)域相對隔離的會議室接待�,而公司內(nèi)部的會議則必須要在辦公區(qū)內(nèi)舉行����。
不過���,多年的從業(yè)經(jīng)驗讓胡明感覺����,再好的制度也可能被人有意無意的打破����。
人不是流水線上的產(chǎn)品,雖然控制��,但是崗位輪換和員工私下里的討論就會引起信息共享程度超過了組織的控制��,胡明說���,一般����,公司的老員工都會對全盤性的信息多少有些掌握,這是無法避免和阻止的���。
不過����,為了防止保密級別高的信息在各部門之間私下流動�����,一些大公司選擇了信息屏蔽的做法����。比如,上市公司業(yè)績只是公開一個籠統(tǒng)的數(shù)據(jù)���,真正敏感的�、具體詳細的財務(wù)信息只有很少人能夠確切掌握�����。有些具體項目的信息還會采用不同會計口徑公布��。
但胡明認為,由于公司業(yè)績同員工個人福利��、收入增加等切身利益關(guān)系密切�����,公司披露給他們一些總體的財務(wù)情況是必要的����,但只提供非精確的信息又可以保護公司的利益。
而這種做法通常用來防范財務(wù)信息向會計或財務(wù)以外的部門不當(dāng)傳遞���,對至少掌握部分確切信息的財會人員,就未必能奏效���。
所以�,胡明覺得任何一種控制都不是絕對有效的���,而過度控制和缺乏控制一樣是有害的�。很多時候�,讓員工有信息安全的意識和獲得信任關(guān)系的激勵勝過任何一種制度防范。
公司安全大bug:網(wǎng)管
網(wǎng)絡(luò)管理員����,MIS人員�����,企業(yè)領(lǐng)導(dǎo)人往往會挑選一些經(jīng)過熟人推薦的人選�。
誰在窺視老板的郵件
公司的郵件���,進出都有備份����,但我可沒這么多閑功夫天天看����。這位網(wǎng)上綽號湯包的年輕人抱怨說。他是一家臺灣企業(yè)的MIS人員����,也就是負責(zé)管理公司信息系統(tǒng)的人。
如今的企業(yè)里���,像湯包這樣的技術(shù)人員經(jīng)常都要面臨諸如此類的日常工作--比如進行公司資料管理��、信息安全政策的擬定����,協(xié)調(diào)公司內(nèi)部的信息溝通等。而對員工的電腦�����、郵件(也包括老板的)的檢查同樣是網(wǎng)管及MIS人員的職責(zé)范圍����。
這時,關(guān)鍵點出現(xiàn)了--網(wǎng)管及MIS人員��,成了對企業(yè)信息安全最為重要的環(huán)節(jié)����。窺視老板的郵件、拷貝關(guān)鍵文件……掌握少數(shù)幾位高管才能知道的商業(yè)機密���,似乎在湯包們來說,僅僅是手到擒來���,小菜一碟的事情�����。
疑人不用�����,用人不疑�,因為不管換任何一位MIS都有可能會泄密。湯包認為除非公司真的花大錢做一套很嚴密的保密系統(tǒng)���,但這樣一定會對企業(yè)運作帶來許多不便�����。
而按照網(wǎng)管�����、MIS人員的職責(zé)分��,他們本來就有權(quán)利去檢查和監(jiān)控使用者的電腦����、甚至是郵件��。這正應(yīng)了那句信息安全領(lǐng)域里流傳的格言--安全是相對的����,不安全是絕對的��。也就是說��,安全就好像上保險����,上了保險也不能阻止意外的發(fā)生�����。
臺灣盈晟科技的總經(jīng)理許之堅多年來一直活躍在IT業(yè)界���,可謂是資深人士����,他對企業(yè)信息安全管理更有切身體會���,信息安全的風(fēng)險無處不在,而且無法預(yù)期��。有可能一個操作員在無意間就把公司重要訊息發(fā)出去并且造成公司致命的危機����。
而潛在的隱患到底在哪里�?在于企業(yè)各階層的操作人員及主管對信息安全的認識有不同程度上的差異所致����。許之堅認為在目前亞洲的企業(yè)當(dāng)中,高管對信息安全的認識還非常有限���,在這樣差異明顯的信息流通中���,風(fēng)險便變得無可避免了,關(guān)鍵在于老板對整個訊息安全的認知有多少��。
搜狐網(wǎng)的網(wǎng)絡(luò)安全顧問周霖也不同意安全隱患的責(zé)任主要擔(dān)負在網(wǎng)管和MIS人員身上����,他們不是天生有權(quán)可以看任何資料的,包括EMAIL��,相反���,同樣要經(jīng)過公司授權(quán)或是高層授權(quán)才可以�����。他認為對企業(yè)內(nèi)部電腦及網(wǎng)絡(luò)進行監(jiān)控�,是技術(shù)人員正常的作業(yè)范圍,至于保密�,有聘用合同可以對技術(shù)人員進行約束。
確實�����,網(wǎng)管與MIS人員是企業(yè)信息安全中極為關(guān)鍵的人物�����,而且遍查國內(nèi)外案例���,因泄露公司機密被公開曝光的犯案者也寥寥無幾�����,看來�����,公司的電腦網(wǎng)絡(luò)技術(shù)人員并非泄密的高發(fā)人群�?
來自臺灣的許之堅就說,在商業(yè)競爭中��,對手竊取公司信息最常見手法便是從買通中層主管����、信息管理人員下手�����。
一語道破天機��,之所以被曝光的網(wǎng)管泄密案件不多��,或許僅僅因為他們的職位相對較低���,而且涉案時往往犯案的中高層人員是媒體關(guān)注的焦點���,記者在查閱相關(guān)資料時,便在網(wǎng)上某論壇上發(fā)現(xiàn)一些關(guān)于MIS人員職責(zé)的討論……
說句真話啦�,如果真的有權(quán)去看某些重要的資料,比如機密EMAIL之類的��,我倒是沒見有哪個MIS不會將這種重要信件轉(zhuǎn)一份到自己信箱去的����。--Overcertified
做網(wǎng)管也得認清自己的本分���,把好自己的分寸,不然私自看這些資料久了���,不定哪天就惹禍上身�。--Huckly
……
不知道作為企業(yè)的高層��,了解到這些公司的技術(shù)人員如此行為���,會作何感想���?
因而就有了在招聘某些能接觸到企業(yè)機密信息的職位時,比如網(wǎng)絡(luò)管理員��,MIS人員……企業(yè)主往往會挑選一些經(jīng)過熟人推薦的人選��,以求可靠和安全�����。 就像財務(wù)����、研發(fā)��、市場都會是老板的自己人一樣����,在臺灣��,這種現(xiàn)象也非常普遍�。許之堅說��,不過����,能力還是要列為重點的考量標準,只是在人情和能力之間�����,該如何平衡����,就成為了選人的關(guān)鍵。
