|
||||
如果说数据是企业赖以生存和发展的血液。那么员工就是企业的生命支柱。但员工又是企业发展链条中最脆弱的一环。有时,员工只要一个小小的错误,就有可能给企业带来一场灾难。
安全计划与落实企业应当教育雇员防止网络攻击,但一个设计健全的安全计划不应当仅重视网络设备、网络软件、服务器等到的安全,还应当根据不同的工作职责制定相应的安全策略并加强其实施。例如,企业应当告知并监督人力资源部的人员正确管理可能位于多个位置的职员档案。
信任一个雇员对要害或敏感信息的访问需要冒一定的风险,这有点儿类似于一场赌博。因为雇员是活生生的人,人有百种。其实,企业的IT管理人员可以公司内每个部门制定独立的安全计划和安全策略,但其是否得到遵守似乎更值得关注。
企业不应当将最有价值的或易受攻击或损害的资源交给一个雇员,而应当在可能的条件下分配对信息资源的访问权,并要加强监督,也就是要实现一定程度的权限分化。加强安全监督和安全审核并不是不信任员工,而是帮助发现信息管理中的漏洞,并进而帮助弥补漏洞。
不同的雇员在不同程度上影响数据安全企业应当知道,不同的人其潜在的安全威胁是不同的,因此IT安全管理人员应当衡量每个员工的安全风险。因为每个员工都有可能犯错误。
太多的企业员工并没有得到如何保护公司数据的安全教育,有的甚至并不清楚自己的安全职责,并且不能有效地避免和管理风险。例如,企业如果不培训员工如何安全地使用电子邮件,如何正确地使用即时通信工具,就不应当对员工竟然不能识别垃圾邮件、钓鱼邮件而感到吃惊。
这里的员工不限于普通的职员,还应当包括IT工作人员和高级主管人员等,无论谁都应当清楚自己的安全责任,并为自己的行为负责。
有关的安全专家指出,内部人员和外部人员的区别不再是绝对清晰的。公司应当注意合约人、厂商、合伙公司、供应商等都可能访问敏感的公司数据,不管它们是偶然为之还是故意这样做。
员工在对待安全问题时,是否有全局的观点至关重要。有些员工并不是从公司的安全角度而是从影响其工作、影响其责任水平的角度来对待安全问题。企业需慎重地对待,要使员工树立全局的安全观念。