CIO靠什么把人裁走，把秘密留下？

    金融风暴的席卷，有的企业为了控制开支，可能会大幅裁员或降低员工的薪金，这些举措无疑会导致人员的大规模流动，同时也给企业的商业机密保护带来了巨大的挑战，IT信息安全问题正把很多CIO推向危险的火山口。我与多名CIO讨论此事时,许多CIO明确表示他们关注的是：在人员流动时，企业如何借助IT技术手段保障自己的商业信息安全。

人员流动时，为什么商业机密泄露会频繁发生?

    （1）高经济价值是其泄露的主因
    对于企业来讲，商业机密无疑是其命根，它是企业人力、物力、资金投入后的直接成果，承载着企业的生存与发展重任。现今，企业的商业机密大多早已换化成了具体的电子载体，例如，CAD电子图纸、电子文档、源代码、电子业务数据和财务报表等。因此,商业机密就成了IT信息安全问题，也就和IT安全策略息息相关了。信息泄露根据目的和性质不同可分为恶意窃取、病毒和恶意软件的破坏、内部人员的不经意流失等三种情况。

    在2008年《IT 风险管理研究报告》中的一项调查结果表示，在经济低迷时，高价值数据外泄危机更是频繁发生。58%的受访者表示在近期发生过一次重大IT数据外泄事件，而且还显示，65﹪的信息失窃是由内部人员所为，这对于企业来讲的确是不容忽视的大事情。

    之所以形成这样的趋势，很重要的一个原因就是经济犯罪色彩越来越浓。最近的另一份调查显示，几乎有一半的员工承认在离职时会带走原公司的资料，包括工作文件、销售协议、技术资料、合同清单等各种数字资产。调查还发现，85%的职员可以轻松地下载这些“有竞争力”的资料和信息，然后带到下一份工作中为自己求职加薪，更可怕的是这些资料中有大部份并不是该员工所负责的资料。

    （2）员工情绪不稳定是机密资料最大的安全隐患
    面临经济不景时，CIO在需要裁员时在机密信息方面的最大挑战是什么？根据调查报告显示，最大的威胁和隐患是员工情绪不稳定和可能受到裁员威胁，而且来自以窃取信息机密为目标的恶意事件更是呈飞速增长之势。在公司可能裁员的敏感时期，机密信息安全的风险也受这个因素的影响而大大增加，这种过渡时期会导致大量的安全泄露事件发生。我们经常看到当人员流动时，代表公司巨大价值的IT信息资产可能首先被错放或者被窃取，而且很难判定这些信息是否用用于欺骗或者其他的非授权的目的。如非法使用移动存储设备，非法复制资料，还有如非法的电子邮件发送等。

为什么说IT信息安全是被自己打败的？

    让我们再来看一下腾讯事件过程，事件之所以发生除了外力外，更是自身缺乏信息安全管理所导致的。因此，企业信息安全除了受外界攻击外，自身的安全缺陷也是很严重的问题，甚至可以将自己打倒。

    （1）对信息安全风险，总是视而不见
    虽然高价值信息管理的缺陷和技术不足，使得攻击、泄密、破坏等安全事件时有发生，给企业带来损失。但最为可惜的是，大多数企业的IT管理人员以及决策者，对于企业信息安全风险甚少有意识，往往只是在事件发生后捶胸顿足、哀声长叹。即使有部分具有前瞻眼光的决策者，察觉到了信息安全风险的可怕，却也缺少一种科学的分析方法，对于核心业务信息安全风险更缺乏严格的评估、量化和分析。没有进行安全风险评估，更没有做好预防措施。

    （2）没有对高价值数据不被窃取进行保护
    据有关数据显示，内部泄密对企业造成的威害远比黑客外部进攻网络造成损失的比例大得多、惨重得多。因此，企业信息安全已日趋成为众多企业CIO的心病和关注焦点。统计资料显示，百分之七十以上的数据都是因为没有做好防护而泄露的。例如，一些机密性的电子资料、电子文档轻易的就可以通过电子邮件等途径泄密到公司外部。

    （3）移动设备的泛滥使用
    技术是一把双刃剑。一般来说,移动终端设备除了笔记本电脑外,还包括掌上电脑、智能手机、USB设备，这给我们数据存储与转移提供了非常大的便利，可惜的是，它们对于企业的数据安全也带来了非常大的隐患。

    根据国外机构调查，因为其移动方便的特性,利用移动存储设备来偷窃企业重要信息已经是危害企业信息安全的头号杀手。而事实上，我们常常看到的是许多公司对其移动设备在安全和策略管理上的缺失。CIO需要清楚认识移动设备不再只是方便使用的工具之一，而是关乎数据外泄的问题。因此，减少移动设备数据外泄风险的关键，是采取预防式的手段管理和保护敏感信息，以防止非法访问或信息泄露。所以，防患于未然，对敏感的机密数据进行有效管理是CIO必须面对的问题。

    （4）缺乏IT安全制度，没有高价值信息的规范使用流程
    大多数人误解了以为阻止即时通讯、电子邮件以及外部存储设备的使用，就不必担心资料外泄。俗话说，道高一尺，魔高一丈。实际上除了技术上的限制外，在IT安全管理上也要跟上。这主要是因为很多公司没有认识到信息安全策略和管理制度的重要性，也有很多公司虽然知道了信息安全管理的重要性，但却不知道该如何制定行之有效的策略和流程。

    （5）缺乏培训，员工不清楚哪些资料不能外泄
    俗话说，千防万防，家贼难防。对于企业来说，信息安全管理的重点是如何防止企业内部员工泄露信息，信息安全确实让很多CIO伤透了脑筋。为了防止泄密，很多企业采取了各种方法防范，有些比较极端，如规定员工在办公环境下不得使用U盘，普通员工没有权限访问互联网。但大多数的员工还是会在无意间将企业的重要资料泄露，主因是他们并不了解他们公司的IT安全策略，也不了解和不清楚哪些资料不能外泄。在当前这样一个人员越来越流动的工作环境中，有效的做法是要给员工进行相关培训，告知员工哪些资料是机密资料应该要慎重处理。

如何避免同类事件的发生？

    保护公司重要资料不被恶意窃取、破坏，是当前商界和IT安全所面临的最大挑战之一。信息安全和数据管理不仅仅是具备一个安全治理框架和技术支持这么简单，而是需要三个关键要素——人员、流程、技术的紧密结合。只有CIO把这个意识贯彻于整个公司，才能使IT信息安全真正到位。因此，CIO应该把信息安全看作是一种公司运营层面而不是技术层面上的挑战。

    （1）IT机密信息安全策略
    企业IT机密信息安全问题自始至终都是一个比较棘手的事情，它既有硬件的问题，也有软件的问题，但最终还是人的问题。在对企业IT信息安全策略的规划、设计、实施与维护过程中，必须对保护数据信息所需的安全级别有一个较透彻的理解。安全策略必须遵循三个基本概念：确定性、完整性和有效性，这包括对设备、数据、e-mail、Internet等的使用策略。

    （2）建立规范化信息安全制度
    IT信息安全管理的根本立足点，不只是对设备的保护，也不只是对数据的看守，而是规范企业员工的行为，这是上升到对人的管理。安全设备的建立只是企业信息安全的第一步，如何在信息安全体系中有效贯彻安全制度，以及不断深化全员信息安全意识才是关键所在。光依靠技术不能完全解决信息安全问题，因为过了一段时间，一些先进的技术可能就过时了。

    （3）监控高风险用户和机密信息使用
    有时公司需要积极地监视某些角色，特别是这些角色对企业会造成极高的机密信息泄露风险，企业要监视以便发现其潜在的“不可接受”的行为。例如一位产品开发经理为谋求一个职位可能会将自己能够访问的敏感数据带到另外一家竞争公司那里去。这种情况下，其访问是被授权的，不过却应该监视其是否存在着滥用或非法使用的情况。

    （4）加强对移动设备和电子邮件的管理
    随着具有存储数据功能的移动设备如笔记本电脑、PDA、音乐播放器、闪存卡、外部硬盘、智能手机等的广泛使用，现今的企业必须面对因为这些设备而导致机密数据外泄风险。

    互联网时代，电子邮件在企业内外部的沟通中，一直扮演着十分重要的角色，但随着邮件造成的高经济价值泄漏案例也正在增多。事实上，这种通过邮件泄露的方式可以避免，只要把邮件在服务器进行备份，并制定技术扫描和IT安全分析是否存在滥用，这样就可以有效的恐吓员工在使用邮件时不会随意传递机密的资料。

    （5）以防为主，加强员工机密信息教育
    人们普遍认为，IT信息安全只是IT部门的事情，其实这并不符合实际情况。员工才是IT机密信息安全的最大威胁，因为大多数员工对其行为的危险性不以为然。IT安全责任存在于公司的各员工中，应该要做到防微杜渐，以小见大。IT安全问题人人有责、责无旁贷。应该要通过技术设备和规章制度结合起来的方式，指导和规范员工正确使用IT资源。