这是一个以1%、2%决胜负的商业时代,一个信息就可以左右企业的成败。这个信息在自己手里是王牌,在对手手里是炸弹。与此同时,日常的干扰未必造成毁灭性打击,却足以让公司的系统暂时瘫痪。企业信息受损的结果轻则使公司蒙受损失,重则毁灭公司。
小心20个细节
重要的信息,可能在老板的大脑里、公司电脑里、一个打印稿的背面,甚至一个垃圾筐里。随时都有泄漏的可能,泄漏的结果轻则使公司蒙受损失,重则毁灭公司。
小心这些细节:不忠实雇员、离职的员工、大嘴巴员工、员工误操作、打印纸背面、文件共享、公共设备、摄像监控资料、U盘、光盘刻录、邮箱、私人电脑、信息加密、信息备份、防病毒软件升级、黑客、垃圾邮件、网络游戏、聊天软件、加强安全意识……“不就是安装杀毒软件,在电脑上设个密码吗?”当你这样想,你就和全世界95%的人一样,错估、低估了信息对公司的致命影响。
通过对100个经理人的调查,总结了30个致命细节,让您5分钟快速成为信息安全专家。
信息安全——商业间谍篇
使你疲倦的不是远方的群山,而是你鞋里的一粒石子。
让企业恐惧的不是强大的对手,而是自己的商业机密变成了对方手里的底牌。
10%的不忠实雇员
在众多的公司安全威胁因素中,10%的不忠实雇员给企业带来的震荡是管理者们最担忧的。
他离职时带走什么
对于企业来讲,那些即将离职的员工是极度危险的。因为不论出于什么原因,他们都希望能够为自己以后的工作获取必要的资源。“实际上,离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯,当然这些资料只是方便以后工作,而不是直接用来出售。”一位离职员工很坦然的说。
公用设备——不等于公用信息
在小型公司或者一个独立的部门里,人们经常公用U盘、软盘或手提电脑。如果有机会把U盘借给公司的新会计用,也就有可能在对方归还的时候轻易获得本月的公司损益表。
所有的设计人员都有过这样的经历:如果自己新到一家公司工作,在自己前任的电脑里漫游是了解新公司最好的渠道。
文件共享——做好文件,再通知窃取者
局域网中的共享是获得公司内部机密最后的通道。当人们这样做的时候,会无所顾及地利用共享方式传播信息。
在硬性规定上围追堵截员工的犯罪行为
微软、西门子等公司是从硬件设备上防止员工拷贝公司资料,根据级别区分,大部分的员工电脑是不能安装软驱和移动硬盘接口的。这在跨国公司内是非常普遍的做法。另外,IBM公司规定每个员工只有三次查阅同一文档的机会,并且这三次查看的时间、地点、原因都会被严格的记录下来。
对于即将离职的员工,跨国公司的普遍做法是在通知员工离职前便冻结员工在公司的所有权限。在离职员工知道自己被解聘之前,公司便封掉了他在局域网上的ID,他就不能进入公司的网络获取任何资料。
打印纸背面——好习惯换取的大损失
节约用纸是很多公司的好习惯,员工往往会以使用背面打印纸为荣。其实,将拥有这种习惯公司的“废纸”收集在一起,你会发现打印、复印造成的废纸所包含的公司机密竟然如此全面,因为废纸记载了公司里的工作内容。
雇员的错误操作总会引狼入室
对于那些不忠实的雇员,企业可以诉诸法律,但对那些粗心的雇员,他们就很难有办法了。在Datapro.Research研究机构的报告中,企业安全危胁的52%是员工的错误操作引起的。
2004年3月,人们在二手录影带市场惊奇的发现未经销毁的中国某银行ATM机内的监控录影带。因为这家银行的雇员将这些未经销毁的录影带私自倒卖给二手市场,无意中泄漏了银行最重要的客户资料。
垃圾里面的秘密
外部攻击并不仅仅批发网络黑客对企业网络的攻击,更多的是来自竞争对手的调查,从而窃取企业的销售资料或者是技术配方,而他们的调查一般从垃圾开始。
几年前,一家著名的市场调查公司调查麦当劳的产品销售量,他们使用了痕迹调查方法,收集了当天麦当劳所有的垃圾,雇用了许多零时工从麦当劳店内收集垃圾,包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量,并且推算出麦当劳下一年的销售计划。
学会保护自己
现在的中国企业在技术上与国外已经趋于同步,无论是防火墙,还是病毒软件,还是VPN技术早已经与国际接轨。但是,中国企业在保卫公司信息安全方面总是显得如此单薄,漏洞百出。因为他们根本没有意识到需要让每一个员工来共同保卫公司安全。
所以对于企业的领导者来说,要减少外部攻击对企业造成的损伤,除了要花大笔的费用引进技术外,还必须用严格的规定来保证攻击者无懈可击。
信息安全——瞬间毁灭篇
我们必须承认,巨大的打击总是小概率事件,问题是当他发生的时候就是百分之百。
0.1%的几率足以致死
也许在前一秒钟还在制定公司第四季度的发展规划,而下一秒钟公司已经不复存在。
9·11恶梦
无数世界著名公司就是在9·11那场恐怖袭击中随双子大厦一同葬身火海,许多公司即使没有瞬间致死,也因数据的全面破坏而损失惨重,从此一蹶不振。据统计,在那场灾难中,40%的企业由于数据丢失,根本无法恢复工作。
随机调查50家中国企业以及30家世界500强跨国公司的中国分部,97%的企业表示,一旦出现诸如9·11这样的意外致使办公大楼倒塌,公司根本无法恢复业务。
信息安全——频繁骚扰篇
日常的干扰未必造成毁灭性打击,却足以让公司的系统暂时瘫痪
病毒偷袭
一次病毒的攻击可以让公司整个局域网瘫痪,给企业造成的影响极具破坏性的。“震荡波”5月3日入侵欧盟委员会电脑系统。当日,布鲁塞尔总部的2.5万台电脑中,至少有1200台遭“震荡波”入侵。同一天,台湾全省邮局上午遭到入侵,1300个邮局中近三分之一瘫痪,所有作业改成人工操作。德国邮政系统、英国海岸警卫系统、澳大利亚铁路系统以及高盛投资银行都无一幸免,全球超过1800万台的电脑受到“震荡波”病毒的攻击。国内企业同样也遭遇到巨大的打击。
黑客有多黑
据调查,在黑客攻击中,44%的人是为了钱,16%是为了破坏软件,16%是为了窃取信息,12%是为了篡改数据,10%是为了盗用服务,另外2%是无心之过。
现在,竞争对手通过网络窃取企业的信息或者是破坏软件并不是一件很容易的事情,因为企业会利用一切手段严加看守自己的核心资产。但是,消费者盗用服务却是企业目前遇到的最大困难。
内部垃圾信息使员工心神不宁
在即时通讯风行的现在,干扰员工工作的不仅仅是定期收取的“垃圾邮件”,更多的是员工自己无法控制的“即时信息”,而这些无用的“即时信息”大多是由公司的内部员工制造的。
一些企业购买了RTX后,并没有及时对每一个员工进行权限设置,造成每一个员工都可以向全体员工同时发送消息,而大部分消息对某一个具体的员工来讲是不必要的。QQ也会给员工造成同样的麻烦。
外部垃圾信息降低工作效率
“外部垃圾信息”主要指的是垃圾邮件。在互联网上传输的垃圾邮件占用了大量的资源,不但造成企业网络资源的浪费,而且一旦垃圾邮件占到企业互联网总流量的三分之一,就会造成巨大的存储需求,直接降低计算机的运作速度。
浪费公司带宽
员工利用公司资源处理私人事务同样会严重影响工作效率。据调查,在2002年世界杯期间,欧洲有5000万以上的员工违反公司规定在办公电脑上跟踪比赛,由于太多人在线收看比赛,导致过渡占用公司网络带宽,影响了正常交易。
公司员工在工作时间不遵守公司规定,随意的下载音乐和电影、上网炒股、收看在线比赛甚至搜索色情网站,而更糟糕的是,许多企业领导仍然没有意识到员工随意占用公司带宽是公司安全的一部分。
结语——解读信息安全公式
我们所指向的信息威胁远远超过黑客攻击、病毒肆虐的范畴,信息安全也远不是“技术”二字可以解决的。国内许多企业缺乏的是安全意识的培养。安全问题绝不是技术层面上的。中国企业缺乏的不是技术和产品,而是意识和管理。完善企业的安全制度,保证遇到问题时能在第一时间做出反应。
而那些购买了杀毒软件后从不升级的企业,在遇到最新病毒时无法应对则是缺乏意识的另一个印证。
危机总是在你意识最薄弱的时候发生,不要等到中毒后才开始寻找解药。
防患未然
安全自然要加倍保护,而首先是加强防患意识,不要在技术上已近乎完美,却因一时疏忽而满盘皆输;
千万不要像有些公司的总裁,严格规定不允许任何员工随意进入自己的办公室,但却忘了防范清洁工;
也不要像有些银行完全有能力向NEC购买故障率为千万分之一的服务器,却使监控录像带轻易流入二手市场;
不要等到某一天公司的一个普通员工捧着一叠董事会的协议交给你,说是从他身旁的打印机取出来的;
也不要等到竞争对手对你的战略规划了如指掌,只因花几百元买通普通员工轻易取走了你上一年的人事变动情况……
在把企业信息工作外包给技术公司时,要把核心业务牢牢掌握在自己手中。
另一方面,像财务、项目管理等核心系统都有自己的信息中心完成。这样做主要从安全的角度来考虑,自己永远要掌控最核心的信息资源。
(林毅)
