CIO关注 谨防裁员带给企业的安全风险

日期: 2008-12-24 作者:Linda Tucci翻译:王霆 来源:TechTarget中国 英文

在这个裁员风暴的困难时期,曾经担任过系统管理员的Jeff Nielsen告诫各位CIO:要谨防“遗留账号”。   作为一家系统访问管理解决方案的研发单位,Symark公司最近开展了一项研究,结果表明,“遗留账号”(在相关员工离开公司后还保持开放的用户账号)问题对许多公司构成了重大的安全风险。   Symark公司高级产品经理Nielsen介绍说,此项调查大约有850名企业安全部门、IT部门、人力资源、以及C级管理人员参加,结果显示,有十分之四的企业并不知道它们内部有多少“遗留账号”存在。更糟糕的是,其中有30%的企业仍缺乏相应的程序来对其进行定位。

调查结果同时显示,即使是这些公司可以找到“遗留……

我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。

我原创,你原创,我们的内容世界才会更加精彩!

【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】

微信公众号

TechTarget微信公众号二维码

TechTarget

官方微博

TechTarget中国官方微博二维码

TechTarget中国

电子邮件地址不会被公开。 必填项已用*标注

敬请读者发表评论,本站保留删除与本文无关和不雅评论的权力。

在这个裁员风暴的困难时期,曾经担任过系统管理员的Jeff Nielsen告诫各位CIO:要谨防“遗留账号”。

  作为一家系统访问管理解决方案的研发单位,Symark公司最近开展了一项研究,结果表明,“遗留账号”(在相关员工离开公司后还保持开放的用户账号)问题对许多公司构成了重大的安全风险。

  Symark公司高级产品经理Nielsen介绍说,此项调查大约有850名企业安全部门、IT部门、人力资源、以及C级管理人员参加,结果显示,有十分之四的企业并不知道它们内部有多少“遗留账号”存在。更糟糕的是,其中有30%的企业仍缺乏相应的程序来对其进行定位。调查结果同时显示,即使是这些公司可以找到“遗留账号”的具体位置,至少也要花一个月或者更长的时间来彻底将其关闭。

  也许有人会问,你说什么?这怎么可能,一个准备裁员数千人的企业怎么会没有一个对服务器和重要计算机系统访问权限进行管理的流程?

  安全认证专家Scott Crawford表示:“原因之一是组织和机构内的应用程序数量问题。”他目前在企业管理咨询公司(EMA)担任研究主管。他表示:“如果你向周围所有使用过像Watchfire 这类黑盒评估工具的人请教,他们总是会告诉你它会让你大饱眼福。这与人们平时所想的有很大的偏差。”

  在Crawford研究这一问题的时候,曾经有一位审计师告诉他,一家金融服务公司,42%的系统权限过于宽泛、或者说本应该早已被淘汰了。一名员工在被裁六个月后,其名字仍然出现在了工资清单上。

  Crawford说:“在过去的几年里,审计师们一直在进行这方面的努力。”因为他们的失误可能会为一些居心不良的人敞开大门,使他们接触到企业的敏感信息和资源。

  被裁员工的“遗留账号”会对企业构成特殊风险

  作为IDC公司负责身份和访问权限管理的研究主管,Sally Hudson表示,使企业处于危险之中的其实并不全是 “遗留账号”的数量问题。事实上,真正的威胁来自于那些可能对公司有不满情绪的“遗留账号”持有者。

  “那些对公司有不满情绪的被裁员工会对企业构成一定的风险。一旦他们被裁,我们应该立刻取消其对所有系统的访问权限、架构权限、以及其电话服务等等权限,这点很重要。” Hudson说。

  Symark公司的Nielsen对此也表示赞同。“如果有人即将失去自己的工作,失去自己的房子,或是没钱买车,或是没钱养家糊口,他更有可能会做一些愚蠢的事。”他说。

  他迅速补充说“大多数被公司裁员的人的行为是正常的,其中只有1%的人会引发一些严重的问题。”他说。

  这1%的人群中谁是最危险的人?是你自己的IT员工

  详细地讲,系统管理人员的带来的风险较高,原因有二:首先,他们往往拥有企业系统的优先访问权限;其次,IT部门在企业中的地位相对低调。在裁员的情况下,特别是在一些大型企业,CIO们往往会更加关注其它业务部门的员工,而不是相对较小的IT队伍。

  “我们发现,CIO们往往更担心企业的业务管理人员,担心他们会亲自携带或通过email、或者通过记忆棒将一些企业信息带出公司,他们往往并不担心IT员工,实际上这些人可以做到以上所有事情,甚至是更多,” Symark公司产品管理副总裁Ellen Libenson说。

  Libenson表示,IT员工负有保护公司系统和保障它们持续运行的责任,“通常来讲他们拥有进出‘这一王国的钥匙’”。如果因为被公司裁员而感到苦恼,他们能从事很多报复行为,远远不止将客户清单带出公司这么简单。

  “报复的形式很多,可以从事DoS(拒绝服务攻击)攻击、破坏服务器、通过聊天室将销售信息卖给犯罪分子、与犯罪分子合作进行非法的数据收集等等,” Libenson说,“这些情况我们都发现过。”

  他表示,当一名员工离开公司之前,安全管理人员必须立即关闭其访问权限。但是,这说起来容易做起来难。

  Nielsen表示,30年前,当企业的IT环境还围绕着计算机主机展开时,解除一名员工计算机的访问权限就像一次一站式交易。而如今,IT部门要处理一系列的接入点。

  “在20世纪80和90年代,当Windows个人桌面平台、Unix数据库和主机服务器、实时票务系统等等这些任务专用平台开始蔓延的时候,你就已经开始将用户的身份散步到许多系统当中,” Nielsen说。

  无论用户拥有的是特殊权限还是普通权限,防止他们对公司进行报复的方法之一是将技术和目录管理集中化。“如果有人离开了公司,你只需涉及5个领域就可以解除其权限,而不是1000个,” Nielsen说。

  IDC公司的Hudson表示,像来自IBM、CA、Oracle、Courion、以及Novell公司的一些身份和权限管理软件或系统可以自动解除员工对所有系统的访问权限,从而大大减少这些风险。Symark的产品已经与一些公共目录,或是Microsoft's Active Directory(目录服务体系结构)、或是来自Sun Microsystems公司和Novell公司的Lightweight Directory Access Protocol目录(轻量级目录访问协议)融为一体,因此你可以尽量在少数的站点对用户身份进行管理。Nielsen表示,这样你就有一个更好的机会,不仅可以在员工加入公司时给他们提供适当的权限,还可以在他们离开公司时解除其相应的权限。

  身份管理周期的最后一步

  除了相关的技术,设置一个合适的进程也是至关重要的。Nielsen表示,一般来讲,在公司中掌握员工身份的部门是HR(人力资源部门)。

  “你真正需要的是设置一个流程,使负责解除员工访问权限的IT人员融入掌握员工身份的HR部门,”他说。大多数HR部门都有一个被裁员工的清单。他们应该负责通知IT部门来解除被裁员工的计算机访问权限,并负责确认解除任务是否完成。

  但是,在员工离开公司时,这种循环怎么可能会不被关闭?

  “如果IT人员也在面临着大量裁员的压力,他们之中很少有人会去从事这项业务,如果HR部门由于太忙而没有通知他们,他们将永远不会去做。这正是那些心怀诡计的人所期望发生的,” Libenson说。

  EMA公司的Crawford总结说:“IT业务比较复杂,解除访问权限的一致性流程并不是说对所有的组织都有必要。但是,所有员工身份管理周期的最后一步一定是解除不必要的权限。”

作者

Linda Tucci
Linda Tucci

Executive Editor Linda Tucci oversees news and e-zine projects for SearchCIO.com and SearchCIO-Midmarket.com. She has covered CIO strategy since joining TechTarget in 2005, focusing most recently on big data, mobile computing and social media. She also writes frequently about the CIO role and CIO careers for SearchCIO.com's weekly CIO Matters column. Prior to joining TechTarget she was a business columnist for the St. Louis Post-Dispatch. Her freelance work has appeared in The Boston Globe and T

翻译

王霆
王霆

相关推荐