【51CTO.com 原创】有细心的吃瓜群众点赞我说每隔一周都能写出一篇妙趣横生的技术文章,且不谈技术水准的高低,就凭这“坚持刷存在感”的精神也是让人醉了。其实呢,在每次准备漫谈的时候,我都先定了个能达到的小目标,比方说:写漫谈呢,最重要是要开心。不过,大家放心,我会尽量做到“山不在高有仙则灵,量不在多有质才行”的。
好,现在正式进入本漫谈的第二部分:治理层面。先来谈谈人员治理。很多企业管理者都容易忽视一个情况:虽然企业的命脉是自身所拥有的信息,但是信息存储、使用和流转等方面的安全却是被企业人员所执行操作的。因此信息资源的掌控和人员的治理才是整个企业日常运营中的基础与核心。这也是各种信息安全相关的认证和参考标准里时常涉及到的重要环节。哥下面主要是从自身企业的治理实务出发和大家分享。
先和大家分享一个最近发生在我们企业的案例。Wuli 一名员工的无线MIFI在出差途中丢失了。这已经不是***个人丢失IT设备了。我总结了一下,不同角色的员工面对这样的情况***反应不尽相同。职场菜鸟:不知所措,甚至还会在微博or微信上发什么“崩溃ing,求指点,在线等,急”;市场部员工:会立即要求IT想办法远程销毁丢失设备上的重要文案资料;财务部员工:马上要去IT暂停丢失设备上的一切服务,以免被人盗用,以实现值损;法务部员工:直接报警,留下***时间的报案证据。总的说来,除了职场新人的做法可以直接狗带以外,其他类型员工的应急处理方式虽然是从自己的利益或执业角度出发,但基本上都是对的。可见信息系统的运维,除了有前瞻的设计,缜密的运维以外,还要具备有效的人员治理和用户素质的跟进。我们平时要加强和反复强调用户安全意识和应对方法。
为了方便治理,我们需对企业人员进行分类。分类的方法有很多。常用的有如下几种:
1. 按照地理位置,可分为工作在企业内,如办公区或厂区的;工作企业外,如出差或在家里办公的人员。
2. 按照雇用属性,可分为有劳动聘用关系的内部员工和外***来的服务人员。
3. 按照专业性质,可分为用服务的一般用户和懂技术的IT人员。
而从管理的周期来看,我们可以将企业人员分成雇用前,雇用中,雇用终止以及岗位调动四个阶段(如下图所示)。下面我们详细讨论一下上述各类人员的不同阶段的信息安全管理。
企业内用户
雇用前
一个岗位在雇用员工或聘请外包商前,应该做好对该岗位的文字描述,特别要包含在信息处理过程中所对应的安全角色和职责的陈述,例如:
1. 具体陈述该岗位人员对哪些信息系统、服务以及资产的访问内容和程度,必要的时候要做好相应的操作技能的培训。根据我的经验,除了基于岗位角色的职能定义外,***将角色细化,比如说对数据库,用户账号,文件系统和网络设备等设置不同的管理员角色,这对UAC都是很好的实践。
2. 所有访问敏感信息的人员应在能访问信息处理设施前签署保密或不泄密协议(NDA)。
3. 如果合适,***签订竞业禁止协议(NCA)或者能将NDA的某些安全条款或职责条件延伸至雇用期结束后一段规定的时间,以免该岗位人员跳到竞争对手公司工作后造成泄密。
4. 在招聘过程中,人力资源部门应根据相关的法律、法规对所有的求职者(或外包商)进行申请人履历(或外包商背景)真实性和准确性的验证和检查。那么我们技术部门则可以灵活的运用各种社交网络里的搜索功能进行复审。“无拘无束”时最能体现一个人的素质。比较招来的人是要能和大家一起愉快的“玩耍”的。
雇用前如果能重视上述四点,基本上在尽职免责方面就已经算是比较到位的了。
雇用中
员工入职来到企业的办公场所开展日常工作。在雇用的整个过程中,有如下方面是需要每个员工特别引起重视和注意的:
1. 员工只能查阅与自己工作相关的文档,不得擅自查阅、收集、保存、复制或转发与其工作无关的信息。
这一点应当在入职的时候讲清楚,并告知我们有个系统如big brother一样会记录甚至监控你的各种尝试不该看的文档,以起到威慑的作用。而在实际运维中,我们可以对现有文档库添置诸如“谁,什么时间,运用什么设备,对哪个文档,进行了什么样的操作”的日志功能。
2. 不得擅自将自己的工作电脑或电话转借给他人,也不可擅自使用他人电脑或电话。
不是所有时候都讲团队精神的。人家电脑,电话坏了自有IT响应,我们的系统如上述所说只对员工ID和设备号等进行记录,所以你让人家用了,你就帮他担责任和风险了,何必呢?
3. 不得私自使用电脑进行刻录或用多功能机进行扫描与复印。
总有些人爱占小便宜,且不说利用公司资源复制小电影,就算把一些工作相关的资料进行转印都会给企业带来信息流失的风险。比如说好奇的其他部门的员工一瞥眼或者是翻看作业记录便可对你的操作一目了然。
4. 不得私自增减或改变电脑的软、硬件配置。
有些童鞋喜好DIY,公司设备配置低,他不给IT部门“增加麻烦”,自己开机箱添加内存、硬盘等。殊不知这样会导致潜在的兼容性问题和硬件缺陷,而且当硬件出现故障的时候既不容易IT人员的问题排查,又不利于标准化快速替换。而对于系统来说,一旦硬件配置改变了,自动分发的组策略等都会受到影响。而对于擅自安装非企业拥有版权的软件的危险,我这里就不赘述了,大家都明白的。
5. 在打印和装订保密材料时要在封面和每页加置密级标签。短暂离开座位时应将涉密材料面朝下放置于桌面上。会议结束后及时带走涉密材料并清理会议场所。
这一点在办公规范要求高的企业特别是外企,是很有讲究的。虽然这是防君子不防小人overlook的方法,但不失为一个很好的办公文件处置习惯。Just be professional.
6. 过期或作废的文件不随意丢弃,应及时销毁。
规范的公司每个工位下除了一般垃圾筐外都会有个文档销毁筐,外形有点类似家里的信箱,“只入不出”。当然也有放置在特定区域的。收集满后,有特约公司运走进行集中销毁。对于废旧的硬盘呢?当然有专门的消磁机,这种设备需要的租用,花钱买实在没意思。
7. 尽量不要用免提的方式打接业务电话或开电话会议。
由于隔音效果不好,哥经常能听到从一墙之隔的邻居企业会议室传来的霸道总裁在电话会议上的咆哮声。我好当心他们要是在弄出什么门的话,我岂不是听得真真切切?
8. 不得向供应商或合作商透露自己业务范围之外的本企业相关信息。
这里跟大家分享一个案例:哥曾拜访过一个会计师事务所的从业者,在闲谈中从业者无意说出“最近都在忙XX公司的上市项目了。”(这里跟大家科普一下,一般为了对某些上市项目保密,都会给项目起个代号,就像军事行动一样。)此言一出,敏感的我一下子嗅到了商机,马上点开手机上的模拟炒股软件,提前持股该公司,坐等上市后大赚一笔了。
员工要有一定的职业敏感性,有义务制止其他同事包括外包人员的违规行为和举报可能造成泄密、窃密或其他安全隐患的行为。与此同时,员工也可按照岗位角色特征对信息安全事故或威胁进行响应,知道向谁咨询进一步的安全建议,并了解合适的报告渠道。企业应提供相应的举报途径(如电话号码,邮箱地址等),同时保护举报人安全。通过相应的激励的方式来实现组织的安全方针。
当然,有奖就要有罚。对于员工安全操作的疏忽或对组织资产误用甚至是滥用等scenario,所采取的分级惩戒过程应确保正确和公平,而对于严重的明知故犯的情况,应立即免职、删除访问权限和特权,从而起到一定的威慑作用。
再跟大家说一个案例,我朋友单位,做软件研发的,一个网管偶然一次用流量分析工具发现,每天定点有从内网的某个路径向百度网盘上载文件的流量的产生,且文件类型并非图片或流文件。后来经过进一步分析发现,是有人设置了计划任务,把项目组的一个防止源码丢失的集中共享盘里的内容定期上载更新到自己的网盘中。于是他马上向管理层报告了此事。后面的狗血剧情大家用脚趾头都能想到了,该奖励的奖,该惩罚的罚呗。
***自我安利一下本漫谈吧。您别认为这里漫谈的很多信息安全相关技术和手段“都是套路”。其实,只要哥在此分享的实施与管控经验中,有那么一、两个点正切您工作中的痛点or high点,让您微微一笑很心领,那么哥就会觉得无比小确幸了。毕竟很多事情,如果咱们不去做,很可能沦为“华佗无奈小虫何”了。正所谓“知易行难”,只要您肯真正去践行,就能把所谓“人家的IT部”甩掉几条街。真心希望我们的漫谈能成为您在信息安全道路上“弯道超车”的利器。
【51CTO.com 原创稿件,转载请注明作者及出处。】
