這正在成為影響企業(yè)生存的一個(gè)問題,但還是不可避免地發(fā)生,至少是以增加猜疑和降低士氣的形式出現(xiàn)。近日,在一家金融公司工作的IT人員最近差點(diǎn)被解雇。他所犯的錯(cuò)誤是什么?就是使用Dropbox軟件存儲他的工作數(shù)據(jù),并沒有意識到最近推出的個(gè)人云存儲服務(wù)被禁止的安全規(guī)則。
當(dāng)其公司的安全團(tuán)隊(duì)確定他已經(jīng)將一些包含有關(guān)主機(jī)數(shù)據(jù)的電子表格以及當(dāng)前的漏洞存儲到Dropbox時(shí),這個(gè)問題變得沸沸揚(yáng)揚(yáng)。他并沒有故意實(shí)施這種錯(cuò)誤行為的動機(jī),但事實(shí)上,他被要求刪除電子表格,卸載Dropbox并簽署一份宣誓書,證明他已經(jīng)采取這兩個(gè)措施。而企業(yè)不想為此冒任何風(fēng)險(xiǎn)。在他保存這些電子表格之前,就已經(jīng)犯了第一個(gè)錯(cuò)誤。
采用清晰的電子通信政策可以通過為員工制定準(zhǔn)則來防止這種情況,但一些警惕性更高的組織根據(jù)其要求進(jìn)一步提升安全水平。這個(gè)趨勢只會擴(kuò)大。
其關(guān)鍵要素是數(shù)據(jù)以及移動的方式或位置。為了保護(hù)企業(yè)信息,諸如個(gè)人電子郵件,云計(jì)算存儲賬戶,社交媒體以及任何允許傳送數(shù)據(jù)或?qū)⑵浯鎯υ谄渌胤降脑囟家艿较拗坪捅O(jiān)控。這可能不是某個(gè)公司的情況,但它將在某個(gè)時(shí)候?qū)茝V實(shí)施。
為了減少這樣的錯(cuò)誤,建議所有的企業(yè)員工遵循以下建議:
•閱讀并遵循所在公司政策。
•所有訪問和通信都由公司監(jiān)控。
•所有機(jī)密數(shù)據(jù)都被跟蹤,不要誤用,不要將其復(fù)制到未經(jīng)授權(quán)的位置或與未經(jīng)授權(quán)的人員分享。
•不要使用公司的郵件系統(tǒng)進(jìn)行個(gè)人通信(這應(yīng)該是一個(gè)沒有意義的事情,因?yàn)槊赓M(fèi)的基于網(wǎng)絡(luò)的電子郵件服務(wù)已經(jīng)存在了幾十年)。
•監(jiān)測娛樂互聯(lián)網(wǎng)站接入,并可能在某個(gè)時(shí)候完全減少或阻斷。這甚至可能包括員工所依賴的在線應(yīng)用程序來完成工作,比如在Google Keep記筆記。
•如果允許,使用個(gè)人設(shè)備可能會在將來受到限制或禁止。
•不要試圖規(guī)避安全控制,或者擅自訪問系統(tǒng)。
•不要訪問任何有爭議的內(nèi)容(無論是內(nèi)部的還是外部的),如果已經(jīng)犯了錯(cuò)誤,需要向管理人員匯報(bào)。
•不參加非工作相關(guān)的新聞組/討論論壇或下載與工作無關(guān)的資料。
•不要發(fā)出或共享密碼或使用公司所有的系統(tǒng)。
•不得訪問或共享盜版或版權(quán)信息,或竊取公司的軟件。
•無論是為了內(nèi)部還是外部訪問,不要將公司的設(shè)備和設(shè)施用于任何目的。
•如果不遵守政策可能會導(dǎo)致終止合同或遭到法律訴訟。
簡而言之,就好像安全人員站在旁邊看著人們工作一樣,至少在虛擬的意義上。
在此,專家建議不要以任何個(gè)人原因使用公司系統(tǒng)或網(wǎng)絡(luò),反之亦然。個(gè)人的工作電腦是專門用于工作,甚至需要使用單獨(dú)的瀏覽器。例如,F(xiàn)irefox瀏覽器用于專業(yè)操作(包括所有書簽),而個(gè)人采用Chrome瀏覽器。工作電腦上沒有任何與工作無關(guān)的東西,家用電腦也沒有與工作有關(guān)的東西。不在家里訪問任何與工作相關(guān)的網(wǎng)站。手機(jī)包含公司電子郵件和VPN客戶機(jī),但沒有與任何業(yè)務(wù)相關(guān)的數(shù)據(jù)。
除了上述最終用戶意見外,以下是對企業(yè)管理人員和負(fù)責(zé)企業(yè)安全的工作人員的一些建議:
•明確宣布并向員工提供所有新的或更新的政策。
•讓員工簽署政策以確認(rèn)已閱讀并遵守。
•根據(jù)需要進(jìn)行培訓(xùn),以教育用戶群體。
•以調(diào)查或測驗(yàn)的形式獲得用戶對策略和內(nèi)容的反饋。
•考慮使用可視措施(如海報(bào)或貼紙)來幫助改善政策遵從性。
•使用監(jiān)控來檢測不當(dāng)?shù)脑L問或應(yīng)用程序。
•準(zhǔn)備適當(dāng)?shù)奶幜P違反政策的違規(guī)行為。
•在可能的情況下進(jìn)行妥協(xié),如允許使用少量娛樂網(wǎng)絡(luò),允許個(gè)人設(shè)備使用或外部公共訪客無線網(wǎng)絡(luò)進(jìn)行互聯(lián)網(wǎng)接入(只要這些需要適當(dāng)使用并且不影響工作)。
最后一個(gè)建議可以為所有人帶來福音,因?yàn)檫@可以通過智能手機(jī),平板電腦或筆記本電腦為員工或客人提供無風(fēng)險(xiǎn)的互聯(lián)網(wǎng)訪問。這樣的安排意味著內(nèi)部系統(tǒng)受到保護(hù),用戶可以在沒有影響移動數(shù)據(jù)計(jì)劃的情況下上網(wǎng)。或者,在與工作相關(guān)的說明中,如果他們使用的基于云計(jì)算的網(wǎng)站被公司系統(tǒng)阻止,他們可以通過個(gè)人設(shè)備訪問它們(只要適用的政策/安全部門允許)。
此外要注意的是,員工應(yīng)該意識到后果,甚至意外的安全違規(guī)。無論員工工作多么努力,對公司的忠誠度如何,不要因?yàn)闊o知的錯(cuò)誤而將組織置于危險(xiǎn)之中。如果安全團(tuán)隊(duì)認(rèn)為某個(gè)員工犯了一個(gè)不可原諒的錯(cuò)誤,那么即使是一個(gè)人才,也會照章辦事。
京公網(wǎng)安備 11010502049343號