数据安全法对企业员工的影响及对策

随着《网络安全法》、《数据安全法》、《个人信息保护法》的实施落地,组织机构存储、管理和处理重要及个人数据的方式必将引来一步一步的变化。对此,昆明亭长朗然科技有限公司网络安全专员董志军表示:即使是中小企业,也不要想着能够躲避或者获得一定的豁免,请牢记,只要处理的数据量达到一定的级别,必将受到法规要求的影响,也必将面临着安全行为的改变。

有些大型互联网企业游走于法规的灰色边界,精于钻空洞搞些小动作,他们深知法律一时拿他们没办法,就肆意妄为。当然聪明一点的也知道法律的解释权何在,知道在接近红线的时候及时收敛,知道法规虽然总是会慢半拍但是迟到的雷霆治理往往带来深重的教训。大道至简,法规的精神不是一时涌现出来的,组织机构其实有很长的时间,可以采取很多的步骤才能实现合规性,以做好风险控管。今天我们想重点聊一聊数据安全相关法规的逐步落实,会对公司企业特别是全体员工带来哪些实际工作中的影响,以及该如何应对。

在公开场所处理重要数据

移动化工作使得不少人可以在咖啡厅、酒店大堂、飞机高铁上花上10来分钟来完成一些重要项目的方案,但是您知道,身边有人在偷偷看着么?如果被人偷拍举报,后果将是怎样?

切记:如果文档是机密的,请仅在他人无法窥探的地方进行处理。同叶,考虑启用公司的VPN软件连接,以保护进出计算设备的流量获得了加密。

在电脑桌面上存储敏感文件

计算机桌面是我们许多人的默认下载位置,这虽然利于快速找到,但是也通常意味着大量敏感文件散落在桌面上,不管是网络会议共享桌面,还是有人路过看了一眼,都可能对重要文件造成威胁。

切记:时刻留意文件的安全级别,特别是机密性,防止将敏感文档留存在其他人可以轻松访问的位置。

留存于会议白板或打印机托盘上的信息

包括战略决策的会议记录经常被留在会议白板上,甚至被打印出来,如果它们落入了员工或企业以外的错误人员手中,后果无疑将是可怕的。

切记:数据并非仅仅限于电子格式的信息,在电子时代,更应该提防传统的失密泄密渠道。

借助明文向外发送的电子邮件附件

电子邮件中包含的纯文本(无论是正文、主题行还是附件)都可能被有足够技能和欲望的人拦截,这是因为电子邮局间使用明文的SMTP协议所致,因此,使用电子邮件明文发送机密的数据,无疑会使企业面临数据失窃或泄露的风险。

切记:始终使用公司批准的加密文件方案或受密码保护的云存储服务来传输机密数据。

通过共享网络驱动器或云存储进行文档协作

如果依靠共享网络驱动器或如金山文档、腾讯文档、问卷星等“野路子”的云存储或协作平台与四壁之外的同事或人员协作,那么您无疑是在无条件信任并赋予平台对文档的读取权。

切记:我们所有的工作相关文档,只能够在安全环境中与他人协作,未加密的共享网络驱动器或者“野路子”的云存储或协作平台,让我们失去对文档的控制,也让数据的机密性不保。

数据处理是个技术活儿,也是个习惯性使然,要养成良好的安全行为习惯,提升员工教育必不可少。据统计,我们中的大多数人都曾在无意中犯过上述这些疏忽行为中的至少一项,随着相关法规的落地实施,安全风险将逐渐增加,提高警惕至关重要。

是时候让员工们了解数据的安全性,以确保他们不会留下机密信息或将包含重要数据的文件随意处理。昆明亭长朗然科技有限公司创作了大量的信息安全意识教程,包括上述各种合规主题在内的安全意识动画视频、电子图片和电子课件,此外,我们还有专门的法规科普教程,欢迎有兴趣的朋友联系我们,预览课程内容和洽谈采购事宜。

  • 电话:0871-67122372
  • 微信:18206751343
  • 邮件:info@securemymind.com
  • QQ: 1767022898

成功的信息安全意识教育计划是给用户亲身体验机会

security-chain-broken

大人警示小孩要注意什么,小孩儿都会理解并照做吗?答案并非如此,实际上,在公司信息安全管理领域,也是这样。

公司信息安全管理团队通常会强化对员工们进行必要的信息安全意识教育,但是很多安全管理者发现效果可能并不如意。即便是那些在信息安全意识推广活动中投入了漂亮的安全信息提示贴、精美的员工安全手册或有趣的FLASH故事动画,问题何在呢?昆明亭长朗然科技有限公司安全意识顾问董志军最近和一位信息安全总临聊起这个话题,如下是他的一些简单自述。

这家公司每年都有数万的信息安全意识培训预算,安全意识活动也搞得有声有色,但是员工们的安全行为却仍然不见大的改观。在接到咨询电话后,我和这位信息安全总监约好一早九点见面。

我向其询问了一些简单的信息安全管理方面的实践,了解到虽然公司的新入职员工需要参加全面的信息安全意识教育课程学习,全体员工也会被要求每年度定期刷新信息安全知识,但是对未遵守信息安全相关要求的行为,却没有任何的惩罚。我又问起了学员的信息安全课程参训率和在线考试的通过情况,几乎是100%的好。

我同他开玩笑说:“您觉得这是信息安全政策沟通不到位,还是执行力不到位呢?”对方苦笑回答:“开放包容充满人性化是我们公司的文化,我们很少会对员工进行惩罚,即使有安全事故,也会更多的反思公司方面的问题。”

这真是家伟大的科技公司,和日本台湾的苛刻管理模式大不相同,公司的业绩却是响当当,员工工作起来却很随意,上午10点半了,还可以看到衣衫不整的员工姗姗来迟。科技界竞争激烈,我有些怀疑这么懒散的员工们是否拥有必须具备的信息安全保密基础理念,以防范商业间谍和竞争者们来窃密。

我把我的怀疑讲了出来,信息安全总监微笑着说:你那边不是提供信息安全意识方面的渗透测试服务嘛!你来扮演个社工黑客,玩一玩诈骗电话和钓鱼邮件吧!我说:这正是我来拜访的目的啊!

于是我们就开始了一项信息安全意识模拟入侵项目,在简单而正式地签定保密协议以及授权书之后,我获得了包括姓名、工号、部门、电话号码和邮箱的员工通讯录、标准软件清单、信息系统名称以及登录界面截图。在简单熟悉了公司的IT环境之后,我便开始了入侵准备工作,我的设备包括一个内部分机号码,一部手机卡,一台位于互联网上的电脑和一台连接到公司内部的个人电脑,我的目标随机抽取五名员工,通过黑客手段,来获得他们的系统帐户和密码。

要说我已经连接到了公司内部网络,要发起一些基于网络层面的入侵嗅探简直太轻易。但是这种方法被信息安全总监禁止了,我也不想让人们以为我只是个技术极客,我需要向人们展示更大的可能性。五名员工已经随机选好,我打算假冒成IT/FI/HR等服务部门通过内线来套取他们的帐户和密码;假冒成客户、社保局、公安局和电信运营商工作人员通过外部手机来套取公司信息,我还伪造了一封钓鱼邮件,并且仿制了两个钓鱼网站。

现在让我说一说我的成绩吧!通过内线,我成功地拿下了两名员工;而通过外线,我只获得了一点皮毛信息;不过配合使用钓鱼邮件以及网站,我获得了所有人的帐户和密码!

当我把成绩展示给信息安全总监的时候,他瞪大了眼睛,忽然赞叹地说:我们太需要你的帮忙了!我们需要更多的员工来亲身体验!接着他把那五名员工叫了过去,向他们说明了这次钓鱼活动,展示了获取的帐户和密码,提醒他们注意信息安全,并要求他们回去立即改掉密码。

我插了一句说:应该鼓励这些同事将亲身的安全经历分享出来。信息安全总监说:这主意太好!亲身体验并且分享经验是最好的教材!

大人告诉小孩该怎么做,小孩儿没有照做,却在亲身经历了错误之后,改过了。通过信息安全意识模拟攻击测试,我们可以让这种错误的代价降至最低。欢迎联系我们,以获得安全意识渗透测试服务的更多内容。