漫谈离职人员的信息安全管理

infosec-and-termination-of-employment

在新员工入职时,雇佣双方对彼此充满了信心和希冀,这个时候,人性中的正能量往往得到更多的体现。然而,天下无不散的宴席,雇佣双方都有选择对方的权力和自由,离职总会给人们带来那么一丝丝的伤感和无奈,在双方缺乏对理想愿景的共同瞻望和承担勇气之时,人性之恶可能会暴露无疑,“暗渡陈仓”、“顺手牵羊”、“杀个回马枪”之类的恶念和恶行可能便会随之滋生。接下来,让我们一一聊聊这些恶念和恶行和滋生它们的土壤。

“暗渡陈仓”这招儿在知名公司较多被使用,表面上看起来员工离职是由于个人或家庭原因,想要离开工作休假一段时间。其实,多数情况是这员工被猎头帮同行给挖走了,又不好意思明说而又能给公司留个面子。可要小心不要被这种佯动的迷惑手段所蒙蔽,“暗渡陈仓”过去的到同行的不仅仅是一名员工,还包含其所能接触到的商业情报和部分竞争力。在申请离职到办理离职手续这段时间,这类员工往往在本职工作上表现的斗志松懈,而在私下却瞒天过海,四处搜集情报,由于对公司熟门熟路,所以其情况收集、分析和整理能力堪比专业间谍人士。

“暗渡陈仓”有时并非一种典型的商战战术使然,再说负责企业人资和员工招聘的相关人员即使希望挖过来的人员能够带来一些竞争者的情报,但也不敢公然向潜在的求职者下达相关指令。但无疑,跳槽员工会受新工作的职位描述以及未来职场发展的展望所吸引,会在当前公司中搜集相关的知识库等等信息,以及早积累相关能力和资源, 便能及早满足新岗位的要求和快速晋升到更高的职位。

不要说“顺手牵羊”只是职业道德水准较低贪小便宜的员工们才有的小动作,在高科技行业,窃取核心知识产权,离职后自立门户,与原东家对着干的案例可不少,这些家伙们似乎也个个都是科技方面的精英。而有的公司离职员工也并非贪图同事们随手放在桌子上的一部手机,却将公司的招标资料与底价给竞争对手,这种职业道德水准的竟然还能并被竞争对手承诺高价聘用。为什么会出现“顺手牵羊”的情景呢?昆明亭长朗然科技有限公司的企业安全管理顾问董志军表达了如下的观点。

一方面,人们会认为是资方在利益博弈方面上据着主动权,这种博弈时时处处都有,公司自然很难做到对所有员工都很“公平”,同一级别同一岗位同样绩效,薪金差别一大截的情况多着呢,这就是雇佣双方博弈的结果。把对薪金福利的渴望值提出来,同意就干,不同意就散,这是职场自由双向选择的市场规律,但是不能因为不同意或面子上勉强同意就背地里耍小花招。

另一方面,人们会认为是员工们的胃口太大,欲望太贪婪,认为公司为员工提供了一个学习和发展的平台,可是当员工羽翼丰满之后,便豪无感恩之心,想要远远超过公司给付能力的高额报酬或超过自身能力的高阶职位。其实职场就是职场,不管双方合作时间长短,追求的是雇佣双赢,职场不是过家家,公司不是家庭,领导不是亲人,当然不宜感情用事。员工如果有更大的能耐,公司这个庙太小,浅水容不下蛟龙,则应该放手让员工外寻英雄用武之地。双方好聚好散,雇佣关系到此结束,珍惜这一段合作的经历不是挺好嘛!?

其实,我们细看,以上两方面都不是“顺手牵羊”现象的真正原因。真正原因何在呢?也有两方面:一、目前工作中所能接触到的东西对离职之后有着重要的价值或好处。二、对于价值和好处来讲,获得并弄走这些东西并不需要冒太大的风险。

“杀个回马枪”的情况也很常见,一项调查表明:半数IT负责人遭遇过离职员工企图获取原公司的数据或登录应用系统的情形。为什么离职员工要“杀个回马枪”呢?于心不甘呗。一小部分无聊的人可能想看看自己曾经所拥有的权限还在不在;大部分人则是想返回再捞一把,在新的工作岗位上时,发现此前“暗渡陈仓”的工作进行的尚不充分,在“顺手牵羊”时遗忘了什么,或者以前根本没有想到的也不在乎的东西,现在的重要性竟然上升到如此之高。后悔解决不了问题,离职员工便付诸了“杀个回马枪”的行动。

离职员工“回娘家”多数情况并非简单“叙叙旧”,“杀个回马枪”的方式也很多,除了使用曾经的帐户或所知信息尝试登录信息系统之外,借“温习历史”、“参观访问”、“交流学习”等名目四处走动,伺机窃密等等只是小儿科;直接向老同事索取、交换甚至购买关键信息的情形在寒暄之中、在地下悄悄地不被他人觉察地进行着。

当我们了解了滋生恶念和恶行的土壤之后,我们便会制定出积极的应对之策。和名牌大学入学考试相仿,不少公司在人员管理上“严进宽出”,招聘员工时做背景审核、政治审核,查信用记录,看犯罪记录,要这个资料,要那个证明,盖这个印章,签那个协议,折腾的不行,与之相对的,在员工离职时,极其低调地处理,甚至连保密协议都不签。这种“严进宽出”做法实际上饱受诟病,成功入职的人员中不少都是那些会跑流程的,懂得潜规则和会混日子的,而并非胜任专业需求且业务能力强的。

从信息安全管理的角度来看,尽管新员工由于对环境和工作的不熟悉可能犯更多的错误,但是显然新员工能够带来的安全威胁要远低于离职员工,所以我们应该摒弃“严进宽出”,而采用“宽进严出”,强化离职员工信息安全管理。

在全球化公司越来越拥抱各种创新技术如云计算和移动计算之时,IT安全相关的控管显然要落后于IT变革的速度。离职人员引发的安全事故会呈现越来越复杂化的趋势,我们无法仅仅从IT技术层面来有效解决这个问题,而应该加强离职人员安全管理方面的创新。如下,专注于人员安全意识管理的昆明亭长朗然科技有限公司将向您分享一些离职员工信息安全管理的理念和方法。

1.及时停用或删除离职人员的访问权限,安全从业人员应该很明白,当员工离职时,应该立即停用或删除其各个区域、设施和系统的访问权限。特别是勿忘需关闭其所能接触的信息资料和媒介的权限。

2.建立辞呈到离职期的员工管控机制,除了工作职务相关内容交换之外,应该注意让接替人员及时重置相关密码,或按需要更换相关帐户。此外,也应该依规定移交相关信息资料和媒介。

3.强化相关员工的安全意识,一张离职时的员工权限清除表可能并不足够,因为它可能涵盖员工的部分身份认证信息,但并不全面。物理环境的安全通常不会成为大的问题,回收或消除员工工卡即可。但是这些离职的员工对公司环境较熟,特别是在大型的公司里,大家通常愿意帮助有点面熟的同事,所以他们可能很容易通过尾随其他员工等方式再次潜入公司内部控制区域。强化对现有员工的安全意识教育,物理安全层面,防范尾随、识别和报告可疑人员是第一要素。在信息系统的权限管理方面,IT、HR以及经理层都应该了解各自在离职员工帐户管理中所担负的角色和职责。当然,员工安全意识培训也应该考虑到保密意识,以防范“杀个回马枪”的老员工进行利诱和策反。

4.强化离职人员的信息安全意识教育,不仅要让他们签署离职保密协议,更要让他们知道在离职后不仅要担负相关的保密职责和义务,对公司区域、信息系统和数据的非授权访问也是违法的。而“暗渡陈仓”,非授权获得公司的商业情报和知识产权,并用于竞争目的,是公司所严格禁止的,一旦发现可疑的行为,不仅会受到调查,更可能受到严厉的法律指控。

5.强化身份及权限集中管理,提高离职员工帐户删除效率,建议各类应用系统使用集中的帐户数据库,比如基于LDAP的AD认证方式以减少分布式帐户管理的海量工作量。就信息系统的访问而言,帐户可能会由IT帐户管理员来集中管理,也可能会由各个系统的管理员来自行管理,他们获得离职员工帐户删除的指令通常来自人力资源部门或这些系统的用户的主管经理们,即使公司有相关的离职ID删除的信息化流程也是如此。除非对员工离职有紧急应对的准备,否则时间的延迟是无法避免的。这就会造成员工离职手续办完后,仍然有部分系统权限未得到删除或停用。加之创新科技让某些新的信息系统并未及时纳入到离职ID删除流程或范围之内,如果删除帐户的人员再偷懒一点,这就会给离职人员较长一段时间的活动窗口或空腔期。

6.强化辞呈到离职期的员工行为查核,加强对系统访问日志的监控和响应是相当重要的,当发现离职员工的越权访问尝试或企图时,应该立即给予警示,如果系统不能发布相关的消息,则应该立即报告信息安全响应中心。前期的政策震慑和后期的行为审核,就是要让离职员工深深认识到,冒“顺手牵羊”这个险不值得。

冰冻三尺,非一日之功。创新科技对用户帐户及权限管理的冲击也是渐变式的,我们需要紧跟时代发展步伐,及时评估和制定相关的安全管理流程,并及时更新相关的帐户管理流程,以便在员工离职时,能够尽可能多的清除其“所知道的”及其“所拥有的”,将离职员工对公司可能造成的信息安全隐患及损失降至最低。

近几年来,各地国资委在国企改革上已经动作“频频”,一波儿又一波儿的国企改革浪潮把公司拆分及并购提上日程,在发展混合所有制经济的改革精神指导之下,员工岗位变动和离职潮也将难以避免,旨在打破垄断引入更多竞争机制的重组也必将引发更多的人才挖角和信息情报争夺战。离职人员引发的信息安全事件将呈现大规模增长趋势,信息安全管理负责人,不得不将工作重点偏移到离职人员安全管理之上,掌握离职人员安全管理的正确方法和理念,定能运筹帷幄,决胜千里。

昆明亭长朗然科技有限公司专注于帮助各类型的组织机构提升工作人员的信息安全意识,欢迎联系我们洽谈安全意识教育培训方面的业务合作。