|
||||
如果說數據是企業賴以生存和發展的血液。那麼員工就是企業的生命支柱。但員工又是企業發展鏈條中最脆弱的一環。有時,員工只要一個小小的錯誤,就有可能給企業帶來一場災難。
安全計劃與落實企業應當教育僱員防止網絡攻擊,但一個設計健全的安全計劃不應當僅重視網絡設備、網絡軟件、服務器等到的安全,還應當根據不同的工作職責制定相應的安全策略並加強其實施。例如,企業應當告知並監督人力資源部的人員正確管理可能位於多個位置的職員檔案。
信任一個僱員對要害或敏感信息的訪問需要冒一定的風險,這有點兒類似於一場賭博。因為僱員是活生生的人,人有百種。其實,企業的IT管理人員可以公司內每個部門制定獨立的安全計劃和安全策略,但其是否得到遵守似乎更值得關注。
企業不應當將最有價值的或易受攻擊或損害的資源交給一個僱員,而應當在可能的條件下分配對信息資源的訪問權,並要加強監督,也就是要實現一定程度的權限分化。加強安全監督和安全審核並不是不信任員工,而是幫助發現信息管理中的漏洞,並進而幫助彌補漏洞。
不同的僱員在不同程度上影響數據安全企業應當知道,不同的人其潛在的安全威脅是不同的,因此IT安全管理人員應當衡量每個員工的安全風險。因為每個員工都有可能犯錯誤。
太多的企業員工並沒有得到如何保護公司數據的安全教育,有的甚至並不清楚自己的安全職責,並且不能有效地避免和管理風險。例如,企業如果不培訓員工如何安全地使用電子郵件,如何正確地使用即時通信工具,就不應當對員工竟然不能識別垃圾郵件、釣魚郵件而感到吃驚。
這裡的員工不限於普通的職員,還應當包括IT工作人員和高級主管人員等,無論誰都應當清楚自己的安全責任,並為自己的行為負責。
有關的安全專家指出,內部人員和外部人員的區別不再是絕對清晰的。公司應當注意合約人、廠商、合伙公司、供應商等都可能訪問敏感的公司數據,不管它們是偶然為之還是故意這樣做。
員工在對待安全問題時,是否有全局的觀點至關重要。有些員工並不是從公司的安全角度而是從影響其工作、影響其責任水平的角度來對待安全問題。企業需慎重地對待,要使員工樹立全局的安全觀念。