人員流動是任何企業都無法避免的事情,包括人員離職流失和內部崗位變動。正常的人員流動有利于企業獲得新的人力資源和技能。但這一流動的過程卻會給企業的IT信息安全帶來巨大的挑戰。因為當人員流動時,也就意味著代表公司巨大價值的IT信息資產也會隨之發生流動,例如某些機密信息沒有被交接或者被非法竊取。
最近,筆者參加了一個本地的CIO沙龍研討會,現場調查顯示幾乎有一半的人員承認在離職時會帶走原公司的資料,包括工作文件、技術資料等相關電子文檔。調查還發現有65%的人員可以輕松地下載一些“有競爭力”的資料和信息,然后帶到下一份工作中為自己求職加薪,更可怕的是這些資料中有大部份并不是他所負責的資料。因此,CIO應該要采取有效的措施來保障人員流動時IT信息的安全。以下是保障IT信息安全的幾個有效措施:
1.IT信息安全策略須重視人員權限
俗話說,道高一尺,魔高一丈。大多數人誤解了以為阻止即時通訊、電子郵件以及外部存儲設備的使用,就不必擔心資料外泄。事實上這只是技術上的限制,CIO在制定IT信息安全策略時應要把人員權限作為一個重要的關注點。因此,CIO應要把信息安全的人員權限看作是一種公司運營層面的挑戰,而不僅僅是技術層面上的挑戰。也就是說,針對人員流動時的IT信息安全問題,不僅僅是硬件和軟件的限制問題,最終更是人的問題。
2.建立人員流動的規范化信息安全制度
雖然人員流動使得IT信息安全事件時有發生,給企業帶來了損失。但最為可惜的是,大多數企業的CIO和IT管理人員往往只是在安全事件發生后捶胸頓足、哀聲長嘆。在我多年的IT從業經驗中,真把人員流動時的IT信息安全當作一件大事來抓的CIO還真是不多。或即便是考慮了IT信息安全,也僅僅是從技術角度層面來考慮,真正從管理制度角度來考慮信息安全的較少。更令人擔憂的是不少CIO對于人員流動時的信息安全問題根本是熟視無睹,只是交給人力資源部門來簡單處理。因此,IT部門必須明確哪些信息是離職人員可以帶走的,哪些必須要交接和保密的,要建立規范化的人員流動信息安全制度,要上升到制度化的管理上來。
3.監控高風險用戶和高價值信息的合規使用
有時公司需要積極地監視某些角色,特別是這些角色對企業會造成極高的IT信息安全風險,企業要時時監視以便發現其潛在的“不可接受”的行為。例如,一位開發經理為謀求一個職位可能會將他能夠訪問的敏感信息帶到另外一家競爭公司那里去,這種情況下他的訪問或許是被授權的,不過卻應該監視他是否存在著濫用或非法使用的行為,以避免這些高風險人員在流動前有意識的下載一些不屬于他負責的重要機密信息。因此,監控高風險用戶和高價值機密信息的合規使用,采取防患于未然的預防式手段是防止其流動時造成IT信息安全事件的有效方法之一。
4.加強對移動設備和電子郵件的管理
常見的移動設備如筆記本電腦、掌上電腦、智能手機、USB設備等,它們給信息存儲與轉移提供了非常大的便利,但是它們對于企業的信息安全也帶來了非常大的隱患。因此。CIO需要清楚認識到移動設備不只是方便使用的工具之一,也是關乎IT信息安全的問題。另外,互聯網時代電子郵件在企業內外部的溝通中,一直扮演著十分重要的角色,但是郵件造成的IT信息安全風險事件也正在增多。因此,CIO對移動設備和電子郵件應該要進行一定程度的監管。事實上,要避免郵件安全事件的方式可以是很簡單的,只要把郵件在服務器進行備份,并制定技術掃描和IT安全分析是否存在濫用,就可以有效的避免員工通過郵件竊取機密資料。
5.以防為主,加強員工IT信息安全教育
人們普遍認為IT信息安全只是IT部門的事情,其實這并不符合實際情況。事實上所有的員工都會是IT信息安全的威脅。大多數的員工都會在流動時或多或少的將企業的重要資料外帶,主因是大多數員工對其行為的危險性不以為然,或是根本就不了解公司的IT信息安全策略,或是不清楚哪些資料在人員流動時不能外泄和外帶。因此,在人員越來越流動的今天,有效的做法是要給員工進行相關培訓,告知員工哪些資料是機密資料應該要慎重處理。IT信息安全責任存在于公司的各個員工之中,應該要做到防微杜漸,以小見大。
IT信息安全問題人人有責,因為任何一個人都有可能會離職流失或內部流動。在人員流動時,一場保衛企業信息安全的新戰役已經近在眼前,這是一個不容忽視的問題,也是關系到企業利益是否受損的重大事情。
