如果说数据是企业赖以生存和发展的血液。那么员工就是企业的生命支柱。但员工又是企业发展链条中最脆弱的一环。有时,员工只要一个小小的错误,就有可能给企业带来一场灾难。
安全计划与落实
企业应当教育雇员防止网络攻击,但一个设计健全的安全计划不应当仅重视网络设备、网络软件、服务器等到的安全,还应当根据不同的工作职责制定相应的安全策略并加强其实施。例如,企业应当告知并监督人力资源部的人员正确管理可能位于多个位置的职员档案。
信任一个雇员对要害或敏感信息的访问需要冒一定的风险,这有点儿类似于一场赌博。因为雇员是活生生的人,人有百种。其实,企业的IT管理人员可以公司内每个部门制定独立的安全计划和安全策略,但其是否得到遵守似乎更值得关注。
企业不应当将最有价值的或易受攻击或损害的资源交给一个雇员,而应当在可能的条件下分配对信息资源的访问权,并要加强监督,也就是要实现一定程度的权限分化。加强安全监督和安全审核并不是不信任员工,而是帮助发现信息管理中的漏洞,并进而帮助弥补漏洞。
不同的雇员在不同程度上影响数据安全
企业应当知道,不同的人其潜在的安全威胁是不同的,因此IT安全管理人员应当衡量每个员工的安全风险。因为每个员工都有可能犯错误。
太多的企业员工并没有得到如何保护公司数据的安全教育,有的甚至并不清楚自己的安全职责,并且不能有效地避免和管理风险。例如,企业如果不培训员工如何安全地使用电子邮件,如何正确地使用即时通信工具,就不应当对员工竟然不能识别垃圾邮件、钓鱼邮件而感到吃惊。
这里的员工不限于普通的职员,还应当包括IT工作人员和高级主管人员等,无论谁都应当清楚自己的安全责任,并为自己的行为负责。
有关的安全专家指出,内部人员和外部人员的区别不再是绝对清晰的。公司应当注意合约人、厂商、合伙公司、供应商等都可能访问敏感的公司数据,不管它们是偶然为之还是故意这样做。
员工在对待安全问题时,是否有全局的观点至关重要。有些员工并不是从公司的安全角度而是从影响其工作、影响其责任水平的角度来对待安全问题。企业需慎重地对待,要使员工树立全局的安全观念。
培训要讲究实效
也许没有任何员工愿意花费时间参加冗长的安全培训,但每天花费10分钟的时间来学习安全知识也许是较为有趣的事情。企业应当将安全意识纳入到细节之中。举个简单的例子,企业可以制作这样的安全提示“数据是企业的敏感信息,”“客户信息仅限于员工内部知道,”“谨防网络欺诈”等,可将其作为屏幕保护程序或开门时的语音提示。形式的多样性和趣味性很重要。
有一些公司将年度的安全培训看得很重要,但却忽视了让其效果深入到日常的企业文化中去。也可以这样认为企业并没有将安全意识融合到日常工作中。应当想办法做到这一点。在保障安全性上,这可能要比购买一个昂贵的防火墙更为直接有效。
避免常见的错误
◆许多单位并没有履行强健的口令使用方法,有的单位仍盛行口令共享。还有的将口令粘贴在显示器的某个位置。
◆对垃圾邮件和钓鱼邮件掉以轻心,应当教育员工正确使用电子邮件等消息系统。
◆避免访问不安全的站点,防止恶意软件和病毒。
◆不要忽视利用操作系统的访问控制功能和审核机制,如权限的设置和文件共享控制。
◆不要用移动媒体存储企业的机密资料,更不能将其携带到公司外部。
◆员工的桌面没有安装或启用防火墙、杀毒软件等防护措施,有的员工关闭了安全软件的及时升级功能。要检查是否有些员工为了提高性能或速度,关闭了安全防护机制。
◆在电子邮件中,不要打开可执行的附件,不管是谁发送的邮件都应如此。
◆避免使用未获得安全确认的网络连接,仅使用公司许可的无线访问。
◆没有建立企业的安全文化,没有严格的奖惩制度。
企业应当对照检查这些错误清单,显然上述的列示并不全面,那么笔者就将这些当作抛砖引玉吧。 |
