我们经常看到媒体报道员工在离职前窃取所在部门的核心技术资料,离职人员充当内幕。那么,为什么前雇员面临信息泄露的高风险呢?对于这些潜伏者,企业的IT部门应该有哪些应对措施呢?从类似事件的关键流程点,我们可以得出一些结论。制度化的分级保密策略和审计机制可以降低潜伏者得逞的可能性。近日,一起离职员工窃取商业机密的案件引起广泛关注。离开公司前,当事人利用合法权益将资料打印出来并拍照留存。在私人笔记本电脑中;而在几年前影响较大的一起彩电技术泄露案中,当事人将大量技术文件复制到私人移动硬盘中……这些事件的当事人均利用了合法的IT权利非法信息盗窃已经发生,说明对合法用户的细分授权和制度化审计是非常必要的。目前,大大小小的企业的IT系统一般都将重要信息存放在内部公共服务器上供用户访问,同时对服务器和网络出口进行保护,以防止外部入侵。然而,简单的内外访问授权控制只能防止外部用户突破网络边界进入内部网络窃取信息,合法用户是否合法使用信息更像是一个“黑匣子”。在现实应用中,打印、复印等看似普通的操作也可能是致命的信息泄露渠道。在目前的情况下,对于“内鬼”所在的部门来说,这些行为本应受到严格限制。严格保护重要信息,对涉及核心竞争力的信息辅之以严格的访问控制、审批授权等权限控制机制。此外,对信息使用的全面审计也是一个必要的环节,有助于及时发现违反IT政策的行为,也可以在信息泄露和传播之前及时发现并采取行动。区分公共和私有的安全策略可以大大降低安全风险。另一个值得反思的环节是私有设备在内部IT系统中的应用。在上述两起案件中,当事人要么使用个人数码相机将数据记录到个人电脑中,要么使用个人移动硬盘传输数据。这些都暴露了企业IT战略没有覆盖私有应用的漏洞。个人设备的应用旨在提高个人工作效率。例如,U盘是便捷的通讯载体,私人笔记本电脑有利于移动办公,社交网络可以加强企业与外界的交流。但所有这些应用都应该有一个前提,即私有应用应该在企业整体的IT安全策略管理之下。任何新设备或应用程序的使用都应事先进行风险评估,并在执行过程中受到严格监督。在智能手机等设备普及、微博和社交网络蓬勃发展的今天,划清公共IT系统和私人应用的界限尤为重要。技术与管理相结合的信息安全战略是必然的选择。目前,不少企业采用视频监控等技术手段辅助安全策略,对核心员工离职前的安全审查流程有事先规定。这些手段可以检测审计无法监控的基于网络的IT行为。在上述两起案件中,据外界猜测,涉案的两家大公司对核心部门使用视频监控和出境审查都有规定。其实安全本身应该是一个综合的概念。除了通常意义上的网络安全和数据安全,视频监控、门禁等通常归属于管理安全的技术也是企业安全的重要组成部分。目前,很多成熟的组织都设立了首席安全官一职,领导企业的安全管理工作。站在战略的高度制定总体战略,更全面地调动企业的资源,将安全与管理相结合,最大限度地提高企业的信息安全水平。
