如何有效“防民之口”

信息数据泄密问题催生了大量的安全技术和软硬件产品,加之严格的安全控管流程使用,使得机要部门能够在一定程度上控制机密数据的出入。

不过,如果员工存心泄密,再高超的技术控管系统也得面对员工们的灵活多变,员工们可能会把单位所有的机要信息存储在大脑之中,而在公司监管范围之外,比如下班之后回到家里或者到竞争业者的处所凭着记忆将它们还原回来……

如果说防范有意的泄密可以通过保密协议等手段帮助,那么员工们在无意间通过口头造成的信息安全数据外泄则是非常难防。俗话说:“防民之口,甚于防川。”特别当员工们认为受到了压制,可能会在适当的场合及时段表现出强烈的反弹行为。员工们在公司之外谩骂甚至控诉公司的安全规章制度和管理流程都会给公司带来负面的影响。

哲人讲:“哪里有压迫,哪里就有反抗。”我们需要的是让员工们理解到保障安全的种种措施并非压迫,这就需要进行适当的员工沟通,沟通的关键问题在为什么要使用这些安全措施,这些安全措施的使用对公司以及员工本人有什么好处,从员工们的角度来说服员工们是最好的沟通方法,也最能取得员工们对安全的理解和支持。

要想有效堵住员工的口,防止“祸从口出”,可以在工作场所和公共区域,设置监控监听设备,以及监听员工们的工作电话,甚至还可以在重点的敏感区域设置通讯信号阻断或语音网络隔离系统。

这些监控监听设备对于多数员工都能起到一定的震慑作用,并且在安全事故的事后调查分析中的确会有很大的帮助。不过安全界有言“防范胜于救治”。在事故之后惩罚员工可能帮助警示其他人,但是却付出了巨大的代价,公司可能已经遭受了无法有效挽回的损失,员工可能不满相关的处罚,内部士气也可能因此而受挫,甚至好员工在实施正确的行为时候也会畏手畏脚。如何能让员工刚刚萌发的“恶念”被及时打消,才是安全管理的高境界。即使多数时间都能遵纪守法的好员工也可能在某些时候萌生不法念头而采取错误的行动,经常“心怀不轨”的员工也可能会有善心,也可能被感化而从良。

防止“祸从口出”,就要让员工们了解哪些信息可以在哪些地方对哪些人说,哪些信息在哪些时候不能对哪些人说,要让员工们认识到信息数据的安全等级,以及依据这些等级,自己可以披露的权限。否则,即使是乖乖好员工也可能会在进行正常业务工作时,为自己不小心说错的话而担心吊胆。

我们需要安全管理的科学和艺术,即如何让员工们在面临选择的时候,能够走向维护安全的积极一面,而不是试探或者铤而走险呢?昆明亭长朗然科技有限公司的安全行为研究员James Dong分享了简单的技艺,便是让员工们在开口讲话时注意两点:一、我是否有权披露这些信息?二、对方是否有权了解这些信息?

三星公司研发团队里的人只能和团队里有权限知晓的人沟通新产品相关的消息,他们不敢也不会对其他人讲起和这份荣耀的工作相关的细节,因为他们知道他们自己没有权限披露最高机密,其他人包括家人和朋友也无权从他们那里获取。当三星Galaxy S III首席工程师ByungJoon Lee的长子问起他是不是在做这款手机时,得到的回答是“我真的不知道。”

想要有效“防民之口”,不能仅仅依赖录音,摄像这些装备和“大棒”政策,也需要利用“胡萝卜”,让员工们从内心深处理解和接受这些安全政策和措施对雇佣双方都有利。我们更需要加强员工安全意识沟通,及时堵住“祸从口出”总比等到口头泄密之后打一嘴巴子要高明及和谐多了。

mouth-to-ear-secret-sharing

建立人员安全保密“防火墙”的必要性

网络安全协会计算机专家表示,由于缺乏安全性或意识,黑客正在瞄准规模较小的企业和组织。

安全意识博客最近对500多名首席信息安全官进行的一项调查发现,人才和培训限制对安全组织产生了重大影响。更重要的是,那些采用隔离式安全方法的组织比那些采用强大的企业级战略方法的组织要虚弱很多。典型的“隔离式安全方法”包含但并不限于构建专用的“涉密网络”和“涉密区域”。

首席信息安全官联盟表示明年的优先工作事项,这揭示了当今企业面临的根本挑战,就是需要更多的安全人才,需要更好的员工安全培训。到底发生了什么,为什么要解决这个永远存在的痛点?

“一方面,没有足够的专业安全人员可用,”昆明亭长朗然科技有限公司网络安全与信息保密观察员董志军说:“网络安全行业人才短缺,大型机构需要先进的网络安全技术和管理水平才能完成工作。”

另一方面,黑客正在欺骗公司和个人使用针对假冒合法电子邮件而定制的网络钓鱼电子邮件。根据网安协会专家的说法,点击电子邮件会绕过所有安全系统,允许黑客访问受害者的信息。

董志军解释了可以做些什么来帮助保护信息系统:防火墙和病毒早期的成功检测率是一半多,再加上防火墙、日志审核以及安全通讯,基本上一个安全管理体系就能搭建起来。而现在,必须要能够在实际威胁发生之前了解正在发生的事情,这样才能获得对抗的先机。传统的技术型安全方案不再足够,现在更多需要防范针对终端设备和信息使用人员的攻击。简单举例来讲,很多企业要求员工在晚上下班前关闭所有电脑和电源开关,这样没有开启电源没有联网的计算机就不易受到黑客攻击。

综合来讲,专业安全人员缺乏,普通职员缺乏必要的安全意识,这就需要我们强化对员工和利益相关者进行最佳实践教育和培训,以防止或减少针对内部人员的攻击,例如网络钓鱼等。此外,所统计,去年超过三分之一的网络攻击和机密泄露涉及内部参与者,这个数字很吓人,细思一下也很合乎现实逻辑。由此看来,构建将整个企业和组织范围内的安全保密意识和行动极其必要,这也被行业视为人员防火墙。

“安全并不仅仅存在于专业团队中,它存在于整个组织中,”京东安全总监说:“对于安全意识教育和培训而言,领导力对于如何影响文化中的变化非常重要。最终,要改变一种文化,要求人们做一些不同的事情。如果您能成功解释为什么要求人们改变,您的意见会得到更多的采纳。这归结为与其他员工保持透明沟通,影响和利用自己团队以外的资源。”

据悉,京东很重视员工培训,为建立安全意识文化,公司成立了“网络安全大使”和“安全保密之友”,他们在各自的部门内部注意安全,并协调安全意识沟通。“开发人员不是安全专业人员,但如果您教育他们并给他们工具以确保他们发布的代码是安全的,那么您将获得他们的尊重和认可。但您不能指望他们这样做而不解释原因,因此帮助他们理解为什么要这样对他们很重要。”

小米公司也非常强调沟通的重要性,并积极将安全性嵌入到公司文化DNA之中。该公司人力资源培训专员表示:“在对安全的沟通方面,我们强调诚实和透明,我们以非常实际的方式与我们的员工讨论网络安全与信息保密意味着什么,以便在他们的工作中进行关联。因此,我们拥有一整套方法,可以将安全意识内容嵌入安全文化之中。“

我们会对新入职员工进行普及性的信息安全意识培训,也会对特定职位的人员进行岗位安全知识和操作培训,还有每年都会发起全员的安全意识更新,并且在人员离职时也会强调信息保密沟通,以便他们离开公司时以及离开之后不至于冒险窃密泄密。通过这些手段,来牢筑网络安全与保密的“人类防火墙”。

不否认,电商领域对网络安全和信息保密有很高的重视程度,网站和人员的安全漏洞足以造成服务的中断、交易的中止、客户信息的丢失甚至信誉的丧失。不管企业性质如何,意识培训和安全文化都是一个成功的网络安全战略的关键要素,因为一个组织面临的许多脆弱性都来自内部。强大的安全性不仅仅体现在安全从业人员团队,更多的是从人员的角度看整个企业有多么强大和弹性。意识是网络安全战斗的重要部分,将安全保密最佳实践融入企业的每个角落是成功的安全领导层必须确立的一种心态和前进方向。

如果您对建立安全保密“人员防火墙”这个话题有更多兴趣,请不要客气地联系我们。我们已经开发创作了一系列的活动来帮助组织提高员工的意识。这可以包括内部交流,如海报挂图和传单彩页、卡通动画和真人视频、研习活动和一套全面的电子学习内容。重要的是,内容可以定制以适合您自己的政策、程序和品牌。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:info@securemymind.com
  • QQ:1767022898