企业数据泄露会对员工造成什么影响?为了回答这个问题,我们需要先探究一下大多数此类事件的原因,而根据我的观察和经验,这些事件往往是因为粗心大意、职员不负责任或管理效率低下。换句话说,人为因素是这个问题的核心。
当员工无法承担责任时
试着问问员工,怎么改变工作流程能帮助他们提高工作效率和工作满意度?通常情况下,人都会希望能够不受干扰地以适合自己的方式工作,例如拥有自己电脑的管理员权限,有权安装任何软件,有权自行访问团队的数据和系统,按自己的意愿邀请他人到办公室等等诸如此类的事情。
但与此同时,很少有人做好准备承担与此相对应的责任。许多职员(有时甚至是他们的领导)都相当盲目乐观,认为自己在某种程度上受到了保护,认为无论自己做什么,总有人会给他们兜底,收拾残局。当然,作为企业网络安全专家,我们会尽最大努力去保护所有用户,但我们不总是万能的。
糟糕的管理决策
导致意外发生的第二大原因则是广义上无效的业务流程管理,包括信息安全和IT人员的作为或不作为。一家重视网络安全的公司不会因为员工使用了受感染的U盘,或不慎打开了一封带有恶意附件或链接的电子邮件而遭受重大损失。在任何情况下,一系列错误的连锁反应基本上都会按照以下固定套路发生:
- 业务流程没能从设计上避免此类错误的发生;
- 有人犯了错或违反了信息安全政策;
- 信息系统或基础设施服务有未发现或未修补的漏洞;
- 系统过于复杂,导致缺乏必要的资源,无法确保安全配置、及时更新补丁管理并实现安全措施。
- 安全部门(由于缺乏技能或实践机会)无法在意外造成损害之前认识到问题和威胁。
每一个因素都会导致决定性的后果,然而造成事故的原因是多种因素相互作用导致的。事故对员工积极性的影响,很大程度上取决于管理层的反应,为了防止此类事件再次发生,有些公司采取的措施反而可能造成比事故本身更大的损害。
下面是一个真实的例子。某家银行由于多次受到外部攻击,数次发生由员工失误造成事故,导致银行系统瘫痪了一段时间。管理层为了激励有担当的员工,并惩罚犯错的员工,于是解雇了一堆IT和信息安全部门的员工。与此同时,尽管管理层知道自动银行系统存在框架上的漏洞,他们却没有分配预算开发新系统或修复原有系统。有经验丰富的员工意识到,管理层一直在雇佣新人,根本不去解决问题,这样下去锅总有一天会落到自己头上,所以他们很快就萌生去意,换了新的工作。新来的员工由于还不太理解公司内部开发的系统,缺乏必要的知识,结果犯了更多的错误,也花了更多的时间维护系统。最后一系列的操作导致这家银行流失了大量客户,该银行也从业内前50名的位置滑落到第200名以后。
企业应该怎么做
在笔者看来,让员工保持积极性是企业运作中相当重要的一点。公司应该帮助员工了解自己的职责、公司的价值观以及同事之间互助合作的重要性,通过物质支持、相互尊重和明确的规则向员工展示。
企业的信息安全规则要使用简单易懂的语言,清晰地说明什么是被允许的,什么是不被允许的,当员工遇到网络事故时应当怎么做,如何确保信息安全不外泄。团队领导必须清楚地向下属传达信息,在网络事故期间和之后解释问题及其后果(和可能面临的惩罚)。这样做有助于保持良性的团队氛围,也可以帮助公司避免一而再再而三地犯相同的错。
- 你可以按照以下信息安全路线图,专注提升团队的积极性,减轻网络事故的影响:
- 对员工进行培训,不光要告诉他们如何避免错误,也要让他们理解错误产生的原因;
- 不断激励员工;
- 制定清晰的公司信息安全规则,采取措施确保一切按规则执行;
- 使用事故检测和响应工具;
- 使用系统防止错误、愚蠢、草率的行为以及内部人员恶意行为发生;
- 定期回顾以上措施,以减少职员犯相同错误的可能性。
想要了解更多关于网络安全事件中人为因素的一面,请查看我们最新的报告”关注公司安全和员工隐私“。