借口“临时工”并非解决信息安全事件的良药

近几年,“临时工”、“合同工”等等开始红遍大江南北。诡异的是,多数时候“临时工”已非还是劳动力市场上的用词,它越来越多的成为一些重大安全事故中的“替罪羊”或“挡箭牌”。

尽管社区论坛、自由博客及社交网络等等仍然被舆论监督部门严格把控,但是或多或少给普通大众在公共社会问题上的“起哄”机会;创新的科技不仅掌握在权力机关,也进入了大众的手中,这让居心不良的家伙们在行恶之时多少有些顾虑和收敛。

危机来临之时,公关高人们第一时间想到降低损失,这是再自然不过的。舆论需要一个责任人,“一把手”如何都难逃其咎,但是又不可能无论大小甚事都怪罪到“一把手”,再说“一把手”并非多数安全事故的直接造成者或参与者。

人非圣人,孰能无过?为了照顾大局,公关高人们往往不得不找出“临时工”来担当“常委”,而媒体要联系这些“常委”的时候,则会被告知:已被辞退。

不过,如果一味拿“临时工”当安全事故的缓冲剂,并不一定会百试不爽,原因不仅仅由于法律法规和相关监管审计系统越来越严格,办公室内外的政治斗争也是关键因素。

其实抛开用于权力制衡也有利于良性竞争的职场政治因素不谈,安全事故越来越成为各主任经理们业绩考核的关键指标。虽然将安全事故的终极责任归于主管领导可能有些残酷,但是也有其积极的一面,便是安全能够得到最高领导层的必要重视,因为只有高层重视了安全之后,下属中低层员工方可将安全当回事儿,安全工作方可得到必要的落实。

从科学发展观上来讲,安全事故并非可以完全杜绝,在信息安全领域,中央各部委的相关监管和指导文件也都特别提到信息安全事件,往往并没有刻意提出如何处理信息安全事件的责任人,但是却无一例外地强调安全事故报告和响应流程,因为中央政府及相关部委明白:终极的责任可能并非在下级单位或某位领导,不过对信息安全事故的刻意忽视、隐瞒甚至夸大等等不但不利于一盘大棋,更会令中央和地方多级受损。

而要降低信息安全事故损失的关键动作看起来很简单却不一家能够做到——及时发现安全事故的隐患或苗头,并且报告给适当的安全响应机构和人员。难做到的原因也很简单:可能不知道要报告安全事故,“临时工”们可能根本不会意识到安全事故或持观望心态,员工们可能会认为与自己无关,或想自作主张低调处理;中层领导可能在忙于别的事务,或不想因安全事故而被上级责难……

不少机关或公司并非需要对公众直接负责,所以在出现信息安全事故之后,也不用媒体掺合,只需依据标准的流程将事故划分为合适的等级并且汇报给相关的监管机构和人员。出现信息安全事故,可能是一个人造成的,但是却需要大批人参与事件的响应之中。如果是黑客搞得破坏,我们谴责黑客并进行内部修复;如果怀疑是商业间谍,我们可以报警并诉诸法律;如果是内部员工不经意犯错,我们要加强安全意识教育;如果是第三方员工如“临时工”恶意为之,我们更要加强教育和惩戒。

虽然临时工与正式工相比,素质、法律观念上还是有差距的,但是我们不能只在信息安全事件之后方才注意到强化安全意识教育,也不能只给正式员工适当的安全意识教育,而忽视“临时工”。

虽然“临时工”可能对组织机构的归属感和认同度不够,他们对公司安全环境的熟悉程度不比正式员工,感受企业安全文化的熏陶也不够深入,但是我们不能否认“临时工”对组织信息安全成功的贡献度和重要性。

我们要张开怀抱,如同会提供特别的“转正”政策让“临时工”好好表现一样,我们也需要在信息安全方面教育、感化和激励他们。

“临时工”、“合同工”、“实习生”、“外包岗”等等不是“替罪”的代名词,但是由于战略的需要,他们客观存在,甚至他们也的确更容易带来安全事故。解决之道并非设置更多的人为障碍和阶层对立,对立不如对话,管理好信息安全事件,降低损失,从对“临时工”的信息安全意识教育开始。

temporary-staff-id-badge

信息安全事件捂着盖着还是立即通报

中华民族的复兴和崛起主要依赖国民的奋发图强,在全球化大时代背景下,西方当代文明带给我们的积极影响,我们也不能否认。

信息时代风云变幻莫测,源自英美强国的信息安全管理体系ISMS方法在全球政治经济一体化的大环境下演变成了ISO国际标准。毕竟,保护好全球互联网的安全,需要一个可以进行跨国紧密合作的沟通框架;在企业间的信息安全交流和管理中,也需要有共同的语言来建立互信机制。

数千年来,多次朝代更替,中原文化也多次历经外族入侵,然而主体的中华文化特性却能始终保持下来。随着知识经济全球化以及互联网的迅速发展,西方文化对我们的影响也日益增强,不过相信精华将被吸取,糟粕将被摒弃。ISO 27001信息安全管理标准在面临中国几千年传统文化之时,会产生什么碰撞和融合效果呢?今天我们来探讨一下信息安全管理体系中的一个重要话题——信息安全事件管理。昆明亭长朗然科技有限公司的企业安全顾问James Dong说:在信息安全事件的披露和响应方面,西方文明讲求事实和科学;而中华文明则关注伦理与影响。

如何有效响应信息安全事故呢?这里面并没有中西文化优劣之说,但却值得我们细细思索和采取必要的措施。James举例说:大到国家层面的信息安全监管机构,小到公司部门的安全协调人员,都很难让人们主动报告信息安全事件。这就如同领导上台提倡让下属们进行自我批评一样,几乎没人会真正来揭丑亮短,这就是中国公司很少有信息安全事故报告出来的主要原因。

明眼的信息安全管理人员会制定相关的制度,以期通过惩戒“隐瞒不报”、“迟报”、“谎报”等手段来激励人们报告信息安全事故。这能起来一部分的效果,但是并不足够。因为“一票否决”、一把手负责等等政治因素,加上责任和面子,会让安全事件发现人员和级级的领导阶层先做一个评估。评估是为了决定私下大事化小、小事化了,捂着盖着,还是乖乖上报。

此外,即使有一个机构或部门中的某个环节出现一点纰漏,整个机构或部门帮忙“打掩护”的情况也很多见。为什么这些人们要这样呢?他们仅仅只是为了自己小范围的利益而牺牲大范围的集团利益吗?答案并非如此,原因在于人们不理解信息安全事故报告和处理思想及流程。James分析出如下几条常见的心态:

1.在中华传统文化中,事故往往是不好的,丑事坏事都不吉利,应该尽量规避,好事不出门,坏事传千里,我们不应该记录和传播不好的事儿。

2.出事是不应该的,出事儿意味着责任心不足、态度不好或能力有问题……这些无疑将带来负面的影响,不想在仕途或职场倒霉就别让这传播出去。

3.在我这弄出的事儿,我这儿要给它灭了,不要去劳烦上司。等事儿给解决了,可能领导也不过问了,即使再报告或许也能获得个从轻发落,甚至因为响应及时而获得领导的褒奖。

对公司信息安全管理负责人来讲,要让员工们及主管经理们建立正确的信息安全事件观念,可不能不考虑这些固有的文化心态。在了解这些心态之上,采取必要的安全意识沟通教育,方能建立健全有效的信息安全事件管理流程。