直到最近,公司员工会背叛并泄露敏感数据的想法几乎是不可想象的。共识是,对公司的威胁来自外部,而不是内部,因此制定了相应的安全措施。当全世界了解到爱德华·斯诺登 (Edward Snowden) 的消息时,情况发生了巨大变化 – 一个迄今为止匿名的承包商,窃取并泄露了敏感的 NSA 文件。
除了斯诺登事件之外,“Boscom”的一份披露报告还挑战了这样一种观点,即公司数据的主要威胁来自外部:来自黑客、工业间谍和其他竞争对手。这份报告揭示了一个令人不安的事实:任何公司的前员工中,近 85% 都带着敏感数据离开了他们的营业场所——如果不是带着实际文件的话。虽然斯诺登从 NSA 盗窃的行为在全球范围内是可见的和具有新闻价值的,但 Boscom 的报告显示,世界各地的员工都很容易带着敏感数据的宝库走开。
鉴于上述情况,很容易理解为什么公司难以维护数据安全,尤其是当最大的风险来自自己的员工时,并且当员工访问数据不仅对他们的工作至关重要,而且对公司的整体成功也至关重要时。这就是为什么限制对数据的访问的解决方案(即直觉反应)是有问题的——它本质上削弱了公司的运作能力。那么,这是否意味着公司面临着一个没有解决方案的问题呢?
让我们通过与我们行业相关的实际场景来研究这个难题:外汇经纪公司。经纪公司有几个部门,每个部门都需要访问某些数据才能充分运作。从销售代表到营销团队成员(例如,电子邮件营销人员),客户信息的各个方面必须对不同的人可见,并且只有适当的软件才能确保划分。当员工了解到他们不应该看到的最大安全漏洞成为可能时——这就是为什么区分开来的重要性怎么强调都不为过的原因。这是经纪公司可以保护信息免受来自内部的潜在威胁,而不影响生产力的唯一方法。
在技术层面上,经纪公司可以使用的两个最重要的工具是良好的 CRM 和良好的加密。前者允许管理层确定谁掌握了哪些数据,后者则防止未经授权的人员通过非公司计算机(“黑客”)访问信息。良好加密的另一个好处是它可以防止流氓员工发送机密数据,因为如果没有适当的解密,这些数据将毫无用处,而他们没有。
为了最好地实施这些对策,首先确定将通过这些方式支持和实施的数据安全策略非常重要。这意味着技术措施是由策略决定的,而不是由可用手段决定的策略。除了采用的技术措施外,管理层还必须明确定义内部规章制度,例如禁止在公司财产上使用 USB 驱动器、禁止使用其他员工的用户名登录等。虽然这似乎是显而易见的,但在保护数据方面,没有什么是显而易见的。
爱德华·斯诺登 (Edward Snowden) 让数据漏洞变得可见。毕竟,如果全能的 NSA 容易被盗,那么我们其他人的立场如何?但在私营部门的背景下,适当的对策可以显著降低公司的脆弱性。考虑到斯诺登,还必须牢记谁在窃取信息及其资源的身份:国家情报机构比竞争对手拥有更多的资源,他们的特工愿意冒更大的风险来获取信息。像斯诺登这样的人出于意识形态原因窃取信息,而商业智能则是由金钱和利润驱动的。因此,阻止私营部门盗窃所需的对策也更实惠、更容易获得。
归根结底,我们生活在一个数据不断面临风险的世界中,但也有许多技术解决方案和标准作程序可以显着降低这种风险。请记住,您需要保持警惕并领先于潜在威胁,但也要记住,即使这些威胁可能很大,也是可控的,并且维护数据安全不需要以牺牲生产力和利润为代价。
