調(diào)查表明,許多公司因心懷不滿的前任員工大搞破壞而蒙受巨額損失。
離開公司的員工絕大部分是誠實正直、遵紀(jì)守法的企業(yè)公民。但是你永遠(yuǎn)不知道何時某個員工可能因與公司交惡而走人,隨后回過頭來企圖闖入貴企業(yè)的系統(tǒng)。
在如今,由于企業(yè)數(shù)據(jù)可能駐留在眾多地方:從云環(huán)境到員工帶到辦公場所的智能手機(jī),保護(hù)公司資產(chǎn)、以免被前任員工破壞來得更加困難。
本文介紹保護(hù)企業(yè)數(shù)據(jù)、以免被前任員工破壞的幾個步驟。
取消為所有設(shè)備配置的資源
據(jù)普華永道會計師事務(wù)所風(fēng)險保證業(yè)務(wù)部的Joe DiVito聲稱,取消配置的資源應(yīng)該是保護(hù)數(shù)據(jù)方面采取的第一步。
DiVito說:“對許多企業(yè)來說,取消配置的資源并非易事。它們在網(wǎng)絡(luò)層面可能做得很好,但是應(yīng)用程序?qū)用婵赡荛T戶大開。針對應(yīng)用程序?qū)釉L問的管理往往是分散的,歸屬應(yīng)用程序擁有者或業(yè)務(wù)部門。”
他補(bǔ)充說,公司需要落實一套流程,將解雇通知告知所有的應(yīng)用程序擁有者。DiVito提醒,取消配置的資源可能會很棘手,如果訪問管理和相關(guān)的控制機(jī)制分散于中央IT部門和數(shù)據(jù)擁有者之間,尤為棘手。
他說:“設(shè)計和運(yùn)作用戶資源配置控制機(jī)制存在一定的控制風(fēng)險。企業(yè)要正確核計賦予員工的訪問權(quán)限。要確定誰擁有授權(quán)和日常訪問該數(shù)據(jù)的權(quán)限,并確保需要修改或撤銷訪問權(quán)限時,各有關(guān)方均通知到位。要管理這種風(fēng)險,解決辦法往往不需要復(fù)雜的手段,只需要加強(qiáng)溝通就行。”
在Steelcase這家辦公家具公司,一款自定義的微軟.NET工具處理取消配置的資源這項任務(wù)。而IT部門與人力資源部門緊密協(xié)調(diào)。
據(jù)Steelcase公司CIO Bob Krestakos聲稱:“.NET工具使用盡可能多的標(biāo)準(zhǔn)API(應(yīng)用編程接口)來聯(lián)系各個系統(tǒng),禁用或刪除用戶帳戶。比如說,可以通過該應(yīng)用軟件,暫停或刪除電子郵件帳戶,取消訪問我們活動目錄的權(quán)限,以及刪除訪問SharePoint的權(quán)限。同樣以這種方式管理訪問內(nèi)部社交媒體和產(chǎn)品開發(fā)系統(tǒng)的權(quán)限。”他補(bǔ)充說,除了消除產(chǎn)品開發(fā)部門的PTC產(chǎn)品資料庫外,這款.NET工具還消除了SAP系統(tǒng)的ID。
他補(bǔ)充說,此外,該應(yīng)用軟件可以自動將電子郵件通知發(fā)送給用戶帳戶的管理員,創(chuàng)建審計跟蹤記錄。
Krestakos說:“.NET工具讓管理員在大型IT環(huán)境下很容易關(guān)閉訪問所有系統(tǒng)的權(quán)限。它讓為好幾個步驟實現(xiàn)了自動化。”他補(bǔ)充說,整個過程由人力資源部門操控。
Krestakos說:“有人離職或辭職時,特別是如果他們身處像企業(yè)戰(zhàn)略或產(chǎn)品開發(fā)這樣的數(shù)據(jù)敏感部門,我們可能會在他們離開之前就啟動取消配置的資源這個過程。在其他情況下,我們讓所在部門的經(jīng)理知道情況,我們保留帳戶,直到經(jīng)理說可以關(guān)閉這些帳戶。”
使用自動化工具
IDC公司的分析師Sally Hudson說:“員工不管出于什么原因離開公司后,這一信息應(yīng)該立即自動由人力資源部門轉(zhuǎn)告IT部門,取消該員工訪問企業(yè)內(nèi)部所有帳戶的權(quán)限。目前這方面有許多成熟的用戶資源配置軟件。”
分析師們表示,此外,眾多現(xiàn)成的應(yīng)用軟件有助于確保員工、尤其是高層員工離職后,無法訪問企業(yè)系統(tǒng)。這些軟件包括IBM、甲骨文、Quest軟件公司(現(xiàn)隸屬戴爾)和冠群的軟件,還包括Cyber-Ark和Xceedium等專業(yè)開發(fā)商的軟件,它們提供的特權(quán)身份管理(PIM)解決方案廣泛應(yīng)用于《財富》2000強(qiáng)企業(yè)。
Hudson說:“現(xiàn)在還有制約與平衡手段:特權(quán)身份管理軟件可以確保被授予很大權(quán)限的前任員工(包括企業(yè)高管和系統(tǒng)管理員)無法利用之前很高的訪問權(quán)限和帳戶特權(quán)級別,在公司里面大搞破壞或胡作非為。”
一些人建議采取全面的方法來取消配置的資源。據(jù)Frost and Sullivan公司的分析師Michael Suby聲稱,要是不走全面的方法這條路,身份和訪問管理流程可能毫無成效。
他說:“數(shù)據(jù)的位置變得非常分散,很難保持監(jiān)管。你還需要對數(shù)據(jù)進(jìn)行分段,這項工作是數(shù)據(jù)治理的一個環(huán)節(jié)。要是我所在企業(yè)有大量的員工信息,比如電話號碼、工資和人事記錄,我就要確保,這些信息單獨(dú)存儲在另一個系統(tǒng)中。而商業(yè)計劃和企業(yè)并購等信息封鎖起來,一般人訪問不到。針對這些信息的訪問需要加以管理。如果你事后再進(jìn)行管理,就好比讓谷倉大門敞開著。”
IDC公司的Hudson補(bǔ)充說:“對所有大型企業(yè)而言,自動化證明流程應(yīng)該是看管的一個基本方面,所有業(yè)務(wù)部門負(fù)責(zé)人證明誰按照企業(yè)內(nèi)部被分配的角色,可以訪問什么數(shù)據(jù)。過去這通過電子表格來手動完成,而現(xiàn)在有了自動化并更新這些輸入的軟件,一旦檢測到異常情況,就會自動發(fā)出警報。”
思科的IT部門也讓取消配置資源過程的大部分環(huán)節(jié)實現(xiàn)了自動化。思科IT移動服務(wù)高級經(jīng)理Brett Belding表示,一旦員工告知人力資源部門要走人,而且一經(jīng)人力資源部門確認(rèn),公司就會采取一系列措施,防止員工訪問企業(yè)數(shù)據(jù)。
他說:“通知人力資源部門后,會針對員工的數(shù)據(jù)訪問權(quán)采取一系列措施。決定離開的員工要交出企業(yè)筆記本電腦,也無法訪問AnyConnectVPN、我們的企業(yè)資源規(guī)劃(ERP)、人力資源系統(tǒng)以及之前可以訪問的其他每個系統(tǒng)。在不同的國家,時間長短不一,但通常是在離職前的最后一星期。比如說,我們提前關(guān)閉訪問VPN的權(quán)限。”
弗雷斯特研究公司的分析師AndrasCser補(bǔ)充道:“應(yīng)用程序擁有者與人力資源部門一定要有融洽的關(guān)系。IT部門也要與監(jiān)管部門一起確保符合法規(guī),無論是金融領(lǐng)域的《金融服務(wù)現(xiàn)代化法案》(GLBA)、醫(yī)療保健領(lǐng)域的《健康保險可攜性及責(zé)任性法案》(HIPAA),還是《薩班斯-奧克斯利法案》;后一項法案規(guī)定,作為一條最佳實踐,員工信息須由管理員保持30天內(nèi)可以訪問,以防需要審計。”
擦除/清除設(shè)備的數(shù)據(jù)
在自帶設(shè)備(BYOD)蔚然成風(fēng)的環(huán)境下,離職員工的設(shè)備一般由IT部門清除設(shè)備上的數(shù)據(jù),或者自行處理這項任務(wù)。但是在清除數(shù)據(jù)之前,IT人員必須知道設(shè)備上有什么數(shù)據(jù)。
普華永道的DiVito說:“企業(yè)需要確定實體資產(chǎn)上有什么數(shù)據(jù),比如手機(jī)上的ID。但即便一些企業(yè)在這方面作了仔細(xì)檢查,還是很難知道什么數(shù)據(jù)應(yīng)該擦除。受到監(jiān)管部門監(jiān)督的公司在這方面做得比較好。生產(chǎn)型企業(yè)就不是那么到位。”
Steelcase公司要求自帶設(shè)備的員工簽署一項協(xié)議,表明他們離開公司后,會清除設(shè)備上的數(shù)據(jù)。CIOKrestakos表示,公司在北美有3000個移動用戶,其中一半使用BYOD計劃,這一招已見成效。
“員工必須同意通過書面協(xié)議同意某些規(guī)定。我們沒有實施確保他們沒有保存企業(yè)數(shù)據(jù)的任何規(guī)定,也沒有對此進(jìn)行監(jiān)控的解決方案,就只有員工簽署的協(xié)議。協(xié)議要求員工使用密碼保護(hù)手機(jī),維護(hù)某種應(yīng)用程序,讓他們得以遠(yuǎn)程訪問及擦除內(nèi)容。”
正如在思科,人力資源部門也參與其中。他補(bǔ)充說:“員工離開公司后,他們要接受人力資源部門的離職面試,需要匆匆看一遍核對列表。人力資源部門收回發(fā)給某個員工的所有技術(shù)設(shè)備,提醒對方不得將企業(yè)數(shù)據(jù)留在任何個人設(shè)備上。”
留意云端
員工離職后,仍可以訪問云端會帶來棘手的問題,因為云是不受控制的渠道。Frost and Sullivan的Suby表示,在員工走人之前將政策落實到位可緩解整個過程。
“企業(yè)一定要有政策和程序,表明什么是經(jīng)過許可的網(wǎng)站;如果網(wǎng)站未經(jīng)許可,你就要加以阻止。你要確定如何阻止數(shù)據(jù)轉(zhuǎn)移到你一無所知的地方,比如Dropbox或另一家云服務(wù)提供商。”
在思科,內(nèi)部和外部云服務(wù)與其一系列移動應(yīng)用程序聯(lián)系在一起。Belding表示,為了對付員工對云端數(shù)據(jù)做手腳,IT管理人員采取的辦法是,只發(fā)送應(yīng)用程序的圖像,而不是實際數(shù)據(jù)。
他說:“我們的一系列移動應(yīng)用程序中許多與云服務(wù)聯(lián)系在一起,無論是內(nèi)部云服務(wù)還是外部云服務(wù)。如果你想查看財務(wù)數(shù)據(jù),下載的不是實際數(shù)據(jù),而僅僅是圖像。我們稱之為比特與像素。針對云數(shù)據(jù)和移動數(shù)據(jù),你只可以下載像素。那樣一來,設(shè)備上的數(shù)據(jù)越來越少。如果你在瀏覽器中編輯一個電子表格,那都是像素格式;當(dāng)我關(guān)閉服務(wù)后,你就再也無法訪問。”
Steelcase對可以上傳到公司所用的Google Drive云的數(shù)據(jù)的類型進(jìn)行了限制。企業(yè)戰(zhàn)略和產(chǎn)品開發(fā)數(shù)據(jù)屬于最重要的數(shù)據(jù)類型之一,這些數(shù)據(jù)不得存儲在Google Drive上。
Krestakos說:“公司告誡員工,他們在從事項目的敏感方面,需要采取防范措施,以保護(hù)信息。”
京公網(wǎng)安備 11010502049343號