一个企业的人才总是在不断流动的,公司新人的入职、老员工的跳槽几乎时时在我们身边发生。如今企业已经全面了进入了互联网办公时代,互联网的高效率和广泛应用使得企业的办公效率也随之提高。如今进入一家公司之后,很常见的便是分配给新员工一个独有的电子邮件,通过电子邮件进行员工之间的联络可谓是方便之极。但是正如上述所讲,人员流动是一个企业的必须环节,那么如何在人员流动的情况下来保证邮件安全呢?
在上周,笔者参加了一个本地的CIO沙龙研讨会,现场调查显示几乎有一半的人员承认在离职时会带走原公司的资料,包括工作文件、技术资料等相关电子文档。调查还发现有65%的人员可以轻松地下载一些“有竞争力”的资料和信息,然后带到下一份工作中为自己求职加薪,更可怕的是这些资料中有大部份并不是他所负责的资料。因此,CIO应该要采取有效的措施来保障人员流动时IT信息的安全。以下是保障IT信息安全的几个有效措施:
1.IT信息安全策略须重视人员权限
俗话说,道高一尺,魔高一丈。大多数人误解了以为阻止即时通讯、电子邮件以及外部存储设备的使用,就不必担心资料外泄。事实上这只是技术上的限制,CIO在制定IT信息安全策略时应要把人员权限作为一个重要的关注点。因此,CIO应要把信息安全的人员权限看作是一种公司运营层面的挑战,而不仅仅是技术层面上的挑战。也就是说,针对人员流动时的IT信息安全问题,不仅仅是硬件和软件的限制问题,最终更是人的问题。
2.建立人员流动的规范化信息安全制度
虽然人员流动使得IT信息安全事件时有发生,给企业带来了损失。但最为可惜的是,大多数企业的CIO和IT管理人员往往只是在安全事件发生后捶胸顿足、哀声长叹。在我多年的IT从业经验中,真把人员流动时的IT信息安全当作一件大事来抓的CIO还真是不多。或即便是考虑了IT信息安全,也仅仅是从技术角度层面来考虑,真正从管理制度角度来考虑信息安全的较少。更令人担忧的是不少CIO对于人员流动时的信息安全问题根本是熟视无睹,只是交给人力资源部门来简单处理。因此,IT部门必须明确哪些信息是离职人员可以带走的,哪些必须要交接和保密的,要建立规范化的人员流动信息安全制度,要上升到制度化的管理上来。
3.监控高风险用户和高价值信息的合规使用
有时公司需要积极地监视某些角色,特别是这些角色对企业会造成极高的IT信息安全风险,企业要时时监视以便发现其潜在的“不可接受”的行为。例如,一位开发经理为谋求一个职位可能会将他能够访问的敏感信息带到另外一家竞争公司那里去,这种情况下他的访问或许是被授权的,不过却应该监视他是否存在着滥用或非法使用的行为,以避免这些高风险人员在流动前有意识的下载一些不属于他负责的重要机密信息。因此,监控高风险用户和高价值机密信息的合规使用,采取防患于未然的预防式手段是防止其流动时造成IT信息安全事件的有效方法之一。
4.加强对移动设备和电子邮件的管理
常见的移动设备如笔记本电脑、掌上电脑、智能手机、USB设备等,它们给信息存储与转移提供了非常大的便利,但是它们对于企业的信息安全也带来了非常大的隐患。因此。CIO需要清楚认识到移动设备不只是方便使用的工具之一,也是关乎IT信息安全的问题。另外,互联网时代电子邮件在企业内外部的沟通中,一直扮演着十分重要的角色,但是邮件造成的IT信息安全风险事件也正在增多。因此,CIO对移动设备和电子邮件应该要进行一定程度的监管。事实上,要避免邮件安全事件的方式可以是很简单的,只要把邮件在服务器进行备份,并制定技术扫描和IT安全分析是否存在滥用,就可以有效的避免员工通过邮件窃取机密资料。
5.以防为主,加强员工IT信息安全教育
人们普遍认为IT信息安全只是IT部门的事情,其实这并不符合实际情况。事实上所有的员工都会是IT信息安全的威胁。大多数的员工都会在流动时或多或少的将企业的重要资料外带,主因是大多数员工对其行为的危险性不以为然,或是根本就不了解公司的IT信息安全策略,或是不清楚哪些资料在人员流动时不能外泄和外带。因此,在人员越来越流动的今天,有效的做法是要给员工进行相关培训,告知员工哪些资料是机密资料应该要慎重处理。IT信息安全责任存在于公司的各个员工之中,应该要做到防微杜渐,以小见大。
IT信息安全问题人人有责,因为任何一个人都有可能会离职流失或内部流动。在人员流动时,一场保卫企业信息安全的新战役已经近在眼前,企业保证邮件安全,这是一个不容忽视的问题,也是关系到企业利益是否受损的重大事情。
【编辑推荐】
