信息安全保密意识是员工的能力和企业的竞争力

子曰:政宽则民慢,慢则纠之以猛。猛则民残,残则施之以宽。宽以济猛,猛以济宽,政是以和。

对一家企业来讲,重要、敏感甚至机密的信息无疑价值不菲,而它们又不仅仅是存放在内部计算机中的数据,而且也是多多少少会流入到主管机关、客户、供应商、合作伙伴、甚至媒体中的消息,更不用说进入员工们的大脑中的那些与工作相关的知识和技能了。因此,信息存在于多个状态多个维度之中,要控管它们,是一件难事儿,全方位的措施是必须的——除了需要必要的安全技术措施之外,就是针对人员安全防范意识的管理。

对商业领域来讲,防范竞争者取得我们那些宝贵的信息并利用它们取得竞争优势,是企业保持竞争力的一项关键措施。在我们拿起法律武器,筑起知识产权保护网的同时,也拿起了科技武器,强化了黑客入侵防范和数据外汇防范,同样,我们也应该高举“发动群众,群防群治”的智慧武器,在人员层面,防范有意或无意的信息泄露。

在这里,我们不探讨专利和商标的保护,也不讲防火墙和黑客入侵防范的部署,这些都交给法务部门和信息科技部门的专才吧!我们要说的是提升人员的信息安全意识,这不仅是一种认知,更是一种态度和一种能力。比如说,有没有人不知道电话诈骗这事儿呢?相信社会中人、职场中人很少会有,但是为何仍有那么多人会成为电话诈骗的受害者呢?这个问题就值得我们沉思。昆明亭长朗然科技有限公司董志军说:在我看来,很多受害者都有些防诈骗的社会常识,毕竟,通过大众媒体和日常社交等渠道,人们多少都会接受到一些防诈骗知识熏陶的。问题在哪里呢?在态度和能力方面,犯罪分子利用的是人性的弱点,你心虚你轻信你侥幸你贪婪,是你的人生态度不踏实,你的辨别是非能力不足够。对于受害者来讲,这话貌似有些冰冷无情,但是却是逆耳忠言。

说回到针对企业的信息安全意识,这也不仅仅是信息安全知识了,知识不多,尽管这些知识可能并不那么精确、普及、深入人心,尽管这些知识也在不断增长和变化中。更重要的是态度和能力,意识的英文单词是awareness(觉醒、觉悟、认识、自觉、觉察),它是在knowledge(知识、学问)、understanding(认识、理解)和recognition(认可、承认)之上的。

说到底,需要让员工们具备适当的信息安全意识,能够应对诸如电话诈骗、社交工程学、网络钓鱼、商业间谍等针对人性弱点的泄密窃密行动,不是仅仅靠信息安全知识灌输可以的,要通过启发思考,获得认同。只有这样,正确的信息安全态度才能深入人心,人们才能担负起从自己做起,保护信息安全防泄密的职责;也只有这样,人们才能拥有保护信息安全所需的基本能力,并不断将这种信息安全能力用于具体的工作和生活实践之中。

对改进信息安全态度和能力方面有什么建议么?昆明亭长朗然公司董志军表示:在推进信息安全意识宣传活动时,知识内容要广泛、平和,这样更易被人理解和接受。避免两个极端,一、搞一堆法律条文般的规章制度让员工读,读完了考试和签字;二、使用过于花哨、娱乐化甚至讨好员工的、内容空泛的宣传物,无孔不入的推销。在日常信息安全行为和管理方面,注意引导,让高管和中层发挥信息安全影响力,激励员工层积极向上的信息安全行为,稍稍花些奖品奖金方面的投入,就可以换取大量正向的信息安全态度和能力提升。

除了来自业务竞争的驱动力,合规和政策的驱动力也不小。近几年,国家层面越来越重视针对国民的网络信息安全意识宣教、保密意识教育以及防间谍教育,企业也开始改变以往过度注重安全技术、轻视安全制度和人员管理的状态,开始强化信息安全与保密意识培训计划,这是很大的认识方面的转变。这种转变令人欣慰,相信这都会帮助提升企业员工的保密与安全意识,以及企业的商业竞争力。

安全搞好了,公司伟大了,国民开智了,国家富强了,民族复兴指日可待呀。要搞好安全,强化人员的认知、改进人员的态度、提升人员的能力,请您联系我们洽谈合作,共建信息安全保密意识管理体系。

如何有效“防民之口”

信息数据泄密问题催生了大量的安全技术和软硬件产品,加之严格的安全控管流程使用,使得机要部门能够在一定程度上控制机密数据的出入。

不过,如果员工存心泄密,再高超的技术控管系统也得面对员工们的灵活多变,员工们可能会把单位所有的机要信息存储在大脑之中,而在公司监管范围之外,比如下班之后回到家里或者到竞争业者的处所凭着记忆将它们还原回来……

如果说防范有意的泄密可以通过保密协议等手段帮助,那么员工们在无意间通过口头造成的信息安全数据外泄则是非常难防。俗话说:“防民之口,甚于防川。”特别当员工们认为受到了压制,可能会在适当的场合及时段表现出强烈的反弹行为。员工们在公司之外谩骂甚至控诉公司的安全规章制度和管理流程都会给公司带来负面的影响。

哲人讲:“哪里有压迫,哪里就有反抗。”我们需要的是让员工们理解到保障安全的种种措施并非压迫,这就需要进行适当的员工沟通,沟通的关键问题在为什么要使用这些安全措施,这些安全措施的使用对公司以及员工本人有什么好处,从员工们的角度来说服员工们是最好的沟通方法,也最能取得员工们对安全的理解和支持。

要想有效堵住员工的口,防止“祸从口出”,可以在工作场所和公共区域,设置监控监听设备,以及监听员工们的工作电话,甚至还可以在重点的敏感区域设置通讯信号阻断或语音网络隔离系统。

这些监控监听设备对于多数员工都能起到一定的震慑作用,并且在安全事故的事后调查分析中的确会有很大的帮助。不过安全界有言“防范胜于救治”。在事故之后惩罚员工可能帮助警示其他人,但是却付出了巨大的代价,公司可能已经遭受了无法有效挽回的损失,员工可能不满相关的处罚,内部士气也可能因此而受挫,甚至好员工在实施正确的行为时候也会畏手畏脚。如何能让员工刚刚萌发的“恶念”被及时打消,才是安全管理的高境界。即使多数时间都能遵纪守法的好员工也可能在某些时候萌生不法念头而采取错误的行动,经常“心怀不轨”的员工也可能会有善心,也可能被感化而从良。

防止“祸从口出”,就要让员工们了解哪些信息可以在哪些地方对哪些人说,哪些信息在哪些时候不能对哪些人说,要让员工们认识到信息数据的安全等级,以及依据这些等级,自己可以披露的权限。否则,即使是乖乖好员工也可能会在进行正常业务工作时,为自己不小心说错的话而担心吊胆。

我们需要安全管理的科学和艺术,即如何让员工们在面临选择的时候,能够走向维护安全的积极一面,而不是试探或者铤而走险呢?昆明亭长朗然科技有限公司的安全行为研究员James Dong分享了简单的技艺,便是让员工们在开口讲话时注意两点:一、我是否有权披露这些信息?二、对方是否有权了解这些信息?

三星公司研发团队里的人只能和团队里有权限知晓的人沟通新产品相关的消息,他们不敢也不会对其他人讲起和这份荣耀的工作相关的细节,因为他们知道他们自己没有权限披露最高机密,其他人包括家人和朋友也无权从他们那里获取。当三星Galaxy S III首席工程师ByungJoon Lee的长子问起他是不是在做这款手机时,得到的回答是“我真的不知道。”

想要有效“防民之口”,不能仅仅依赖录音,摄像这些装备和“大棒”政策,也需要利用“胡萝卜”,让员工们从内心深处理解和接受这些安全政策和措施对雇佣双方都有利。我们更需要加强员工安全意识沟通,及时堵住“祸从口出”总比等到口头泄密之后打一嘴巴子要高明及和谐多了。

mouth-to-ear-secret-sharing