从两起事件宣讲员工信息安全手册

最近,又看到和听到一些信息安全事件,无疑,这些事件的原因都是对信息安全的误解和不了解。

其中一起事件值得玩儿味,暑假,清洁阿姨带着自己的儿子来到某公司,借用了某员工的电脑玩儿游戏。后来该员工发现一些程序和重要工作文件丢失了,原来阿姨的儿子要安装大游戏,但是提示存储空间不足,该小伙便悄悄把电脑中的程序和数据给删除了。

我说该员工真倒霉,不过不值得同情。昆明亭长朗然科技有限公司信息安全专员董志军表示:很多员工知道,在职场中,分配给自己工作用的电脑不是自己的私产,但是却不明白,自己作为使用者和保管者,承担着保护电脑的责任,即使交给他人使用,也还是得自己担负责任。

计算机使用责任

员工负责适当使用区域计算机和通信资源,并采取合理的预防措施来保护委托给他们的信息和设备。

员工有责任举报不当使用区域计算机和违反计算机安全的行为。

员工有责任遵守此处所述的政策和做法,以及其他政策和程序,以确保可接受地使用计算机和通信资源,并采取实际措施防止计算机信息和设备的丢失或损坏。

另一起事件是一名员工在与该公司高管面谈时,无意中记下了该高管的系统登录密码。后来,该员工悄悄使用高管的账号,登录到客户关系管理系统,下载了大量的客户名录。结果该员工不但被解聘,还吃了十几天牢饭,并把非法所得充了公。该高管也在后来的办公室政治中被拿这件事儿来压制,受了不少气。

要我说该员工缺乏规范意识,头脑简单,无知者无畏。从技术能力上讲,那么多IT系统管理员,特别是数据库管理员都可以轻松搞到大量客户名录,但是应该明白,IT系统管理员不是数据的所有者,只是数据的管家。就像以前的社会那样,管家管着财主很多钱,但要支配它们使用它们还都要财主说了算。当然,财主发给管理的工作报酬是管理可以自由支配和使用的。街头开锁的工匠也很明白这个道理,他们有能耐打开很多户家的门锁,但是人家没让他们开,他们可是不敢的。

我还要说该高管也是缺乏足够的安全意识,当着员工的面输入自己的密码,也不遮掩一下,这不就是把自己的安全弱点暴露给人家嘛!如果能稍稍注意一点,就能弃恶扬善,防范一起人间悲剧的发生。

越权访问

禁止未经授权访问计算机(硬件和软件)和通信资源(例如互联网、Web服务器、电子邮件)。禁止未经授权访问数据文件和自动化系统。拥有访问能力不代表拥有访问授权。

任何形式的篡改、窥探或黑客入侵计算机都违反安全政策,并带来严重后果,包括解雇和刑事指控。员工在离开现场时需要保护他们的计算机,并在每天结束时将其关闭。

在工作时间内,如果员工离开他/她的办公桌,则需要“锁定”计算机以防止未经授权的使用。使用Windows操作系统,同时按下Ctrl + Alt + Delete键并在屏幕上选择“锁定”选项即可完成此操作。也可以通过同时按下Windows键(在Alt键旁边的)和字母“L”来锁定计算机。

这两起安全事件案例就分享到这儿,职场经历多了,这种事情相信会见到很多。不管您碰到任何信息安全相关事件,都欢迎您拿来和我们分享,一起探讨如何通过信息安全意识教育来防范类似事件的再发。

昆明亭长朗然科技有限公司是最早将信息安全意识引入国内的探索者和领航者,我们帮助各类型组织机构建立适当的信息安全意识宣教计划,以及向受众群体提供必要的标准化和定制化的信息安全意识教育活动。我们的信息安全意识宣教内容资源,及网络安全宣传周活动方案被多家大型机构所采用,欢迎有相关需求的客户以及有兴趣合作的伙伴们与我们取得联系。

电话:0871-67122372
手机:18206751343
微信:18206751343
邮箱:[email protected]
QQ:1767022898

新世代员工蔑视IT政策的应对之道

思科公司的年度安全报告表明:70%的新世代员工通常会忽略IT相关的政策,最终导致四分之一的人成为身份盗窃的受害者。

的确,婴儿潮世代的人们占据了组织中的领导地位,他们的特点是易于接受上级控制也敢于控制下属,但却在逐步退休期;30岁以下的年轻人从小生活在数字时代,他们的生活方式已经严重信赖互联网,所以他们有很多个性化的需求、行为方式独特、崇尚网络自由、随时随地工作……

当他们将这些流行的生活方式带到工作场所时,会不自觉将私人与商业行为混合,当工作时需要联网却受到阻碍时,便会对IT心生不满,进而轻则消极怠工、选择退出,重则企图突破控制防线、甚至毁坏安全管理体系。

思科在报告中也简单提及一些新世代员工为了突破安全控管措施的不安全行为,包括使用其它的无线网络连接,随意借用他们的计算设备及权限,在社交网络分享工作相关事务,使用非授权软件和程序用于完成工作等等。

67%的受访者表示IT安全政策未能满足现实生活对弹性工作的要求,而61%的受访员工表明他们不为保护信息和设备的安全负责,这些应该是IT服务提供者的职责。

这些重要的发现给IT安全管理负责人带来的新的启示,新世代的劳动力需要对信息更加开放的访问权限以及社交网络,如何及时调整IT及安全政策,确保管理好风险的前题下,能给员工更多的移动工作能力和生产力。

昆明亭长朗然科技有限公司的安全顾问James Dong称:我们相信安全控管科技的创新将会帮助IT安全管理人员,同时也需要针对新世代员工的特点,制定适合他们的信息安全沟通战略和方式,显然传统的发布文字版安全策略和标准文档的方式不会受到新世代80后员工的欢迎,而多媒体、互动式、社交网络式的电子学习渠道将大受追捧。

 

如果您想体验交互式的在线电子学习方式,您可以通过邮件自注册在线学习平台网站,然后就可以体验丰富的在线课程了!