确保数据安全已成为企业文化的一部分,更有甚者将这一条款写入了员工手册中。但是如何利用IT技术让员工接受信息安全理念的同时,又能有效地保护个人隐私,这已成为企业IT技术必须攻克的难题。
问题 PROBLEM
在互联网和人们的工作、生活越来越紧密的今天,对于企业而言,员工的上网行为不仅与个人有关,而且还牵涉了企业的信息安全。最近有一些CIO们在经验交流时,提到一个问题,那就是如果企业与外部网络未加限制与约束的话,有一些员工会利用互联网,从事一些与工作密切度不大的事情。比如,在购物网站购物、电驴下载电影电视等等。一来会占用企业本来就不太多的网络带宽资源,二来也占用员工的时间,间接导致工作效率低下。
张勇是中意财险公司负责服务器维护的工程师,他说,在他们公司,对于员工上网目前还没有完全监控,一是因为监控员工的上网行为法律上没有明确告知,是否与员工的个人隐私密切相关,企业主是否有权对属公司所有的计算机和网络等资源在被员工使用的过程中(包括通讯,如公司配发用手机和桌面电话等)进行监控。二是在监控过程中,记录的员工私人信息,企业能否保证不得泄露于任何第三方,公司对此负有保密和保护被监控人隐私的责任,这点其实和员工不要泄露公司机密是同等的。尽管目前有很多公司都与员工签署了保密协议,但是在现实世界中,泄露公司机密的事情同样也在发生。三是由于员工的网络行为具有很强的随意性,如何界定工作还是娱乐也是一个很大的问题。员工上网操作完成后,一旦关闭窗口,便无据可查。四是他们现在部署了完善的信息安全体系,防火墙、防病毒软件等,这些安全工具至少让他们暂时没有碰到很大的安全问题。但是他们也发现,员工在网上从事的某些网络行为,确实会对信息安全产生影响。比如有些员工,在企业邮箱所选择的密码与个人邮箱密码是一样的,一旦他的电脑被攻破,个人信息将得不到保障,同时也会危及到企业的信息安全。
还有一家中国知名企业通信企业,他们在信息安全上的管理方式是构建一个几乎没有外网的内部办公网络。员工进入工作区,不能携带任何属于员工自己的电子设备,比如电脑、移动硬盘、MP3、U盘等等,最近据说某些层级的员工连手机也不能带入工作区。在他们的工作区里,有内部网络、固定电话。在他们的内部网络里,倒是有各大网站的新闻头条、时事热点等,不过这些信息都是经过过滤的。在这里,员工上班的效率倒是很高,除了工作就是工作,员工的一切网络行为尽在掌握中。但是在这家公司频频发生的员工轻生事件见诸报端时,也不禁让人对于这里的工作强度和工作压力产生疑问,每个人都处在完全监控之下,是否真的就能完全“天下太平”了呢?
挑战 CHALLENGE
在人力资源方面工作超过10年的叶明认为,没有人喜欢被监控,但无规矩不成方圆,员工对监控的态度在某种程度上决定了上网行为管理是否能有效地执行下去。在产生抵触情绪进而影响工作积极性之前,企业应该做很多工作,做好员工的告知和沟通工作是非常关键的。一旦员工理解企业的出发点并且认识到企业的效益得到改善、最终的受益者仍是员工自己的事实之后,这种方式将逐渐被认可。很多的管理者实行上网行为管理,目的是帮助企业员工建立一个规范的上网习惯,并以此来提高工作效率。企业监控员工的上网行为并不是为了窥探他们的隐私,而是出于信息安全和规范管理的需要。
根据美国管理协会(American Management Association)做过的一项调查,超过3/4的美国雇主会监视员工在工作时间的个人上网行为。在中国,也有近两成的公司对员工的网聊记录、电子邮件内容进行监控。对信息安全的管理模式正受到越来越多的企业管理者欢迎,对于员工个人而言,应该加强对企业文化的认同,增强企业使命感,并对企业管理者加深理解。与此同时,企业管理者应注意把握企业利益和员工隐私之间的平衡,通过安全教育、权限设置、细节调整等管理方法,结合监控、过滤、身份认证等技术手段,在保障企业利益的同时维护个人隐私。此外,需要强调的一点是网络行为监控的执行者应该是企业的管理层而不是IT人员,IT人员的上网行为也需要受到限制,这样能在很大程度上避免员工的隐私外泄。
张光得是江泰保险经纪公司数据信息管理中心的总经理,他在保险行业的IT部门工作了8年,在保险经纪业务领域中,他们公司排在前五名。他认为,在他们公司人才和知识管理是头等重要的,在保障企业信息安全的时候,员工和公司应该是利益相同的。但是大家可以看到,在描述上,“监管”、“管控”、“管理”员工上网行为等字眼,都说明很多公司是强调一个“管”字,把员工放在了保障信息安全的对立面,认为信息安全的潜在危害因素来自于企业内部。很多的媒体报道都认为,大部分的信息安全隐患是来自内部,但是公司管理者也要从自身进行审视,是不是把应该做的说服教育工作做到位了,是不是与员工就信息安全的重要性,进行了充分的沟通,是不是也把员工的利益放在重要的位置了。
解决 SOLUTION
其实,在面对企业的信息安全时,除了防范那些有意盗窃公司信息的不法人员之外,同时还应包括缺乏安全意识的公司职员,而后者往往更具杀伤力。新奥集团IT共享服务中心总经理肖鹏表示,网络环境因公司业务不同而有所差异,在他们对信息安全的防范工作中就发现,部分新进职员在进入公司工作后几乎是毫无顾忌地使用公司的网络资源,因此新进员工的电脑就极有可能成为病毒的温床,并且通过公司的内部网络对其他终端进行攻击。另外一些员工有可能使用BT等PXP软件下载文件,或者浏览不适宜的网页,这些行为也会对公司内部网络造成不良影响,从而影响公司业务。
肖鹏所供职的新奥集团创建于1989年,总部位于河北省,是一家致力于清洁能源生产与应用的企业集团。公司以创新清洁能源为使命,依托燃气分销,立足煤基清洁能源产品的开发利用,并围绕二氧化碳的资源化发展氢能源和生物能源,实现煤基能源零污染,实现煤基能源全生命周期的清洁化,形成涵盖服务和供给、供应链、开发和生产等环节的清洁能源产业链。截止2008年底,新奥拥有员工2.4万余人,总资产超过260亿元人民币,100多家全资、控股公司和分支机构分布在国内80多座城市及美国、欧洲和中国香港等国家和地区。
面对如此庞大的人员和电脑终端需要管理,新奥集团在网络安全方面非常重视。他们对于移动和分支机构的数据安全都非常在意。为此,他们早在2005年就部署了信息安全的防控政策,保护、检测、响应、恢复制度在他们那里有一系列的阻挡措施。目前基本能让病毒和其他危害信息安全的行为被检测和堵截。这些年,他们陆续又购置了一些信息安全的设备,防火墙、防病毒软件每年都有采购。两年前,新奥集团决定在其总部部署两台UTM-1 1070设备,以双机集群模式工作。双机集群同时待命,可提供负载均衡,并具有很高的灵活性。根据业务发展的需求,最大可以扩充到8台防火墙设备。这完全可以满足新奥集团快速增长的业务所带来的扩展需求。同时增加了它们连接网通、电信两条ISP线路网络的可用性和冗余备份功能。
另外,他们还在其他城市的六个区域中心采用了UTM-1 570和UTM-1 270系列硬件防火墙。这些UTM安全设备通过区域中心的管理为业务单位提供全面的安全防护和VPN接入的能力。在其他分部,防火墙系统保持不变。只需把原来的VPN隧道迁移到总部新的防火墙系统中即可。通过SecureClientTM,在外办公的人员可以通过总部和六个区域中心的防火墙便捷地访问新奥集团总部的互联网资源。无论他们身处何地,都可以选择最佳的路径访问新奥集团的网络。例如,如果有员工在长沙出差,可以选择“Cncsfw1”,这是通过长沙的防火墙,提高访问速度。
此外,新奥集团还部署了SmartCenter对8个防火墙进行集中管理,以及用Eventia Suite、Eventia Analyzer和Eventia Reporter做安全审计和分析。SmartCenter管理工具简化了升级工作,而Eventia Suite帮助IT管理员进行实时的安全报告分析,并提供安全审计的定制报告。使用这些集中管理工具,新奥集团实现了对时间的有效控制并减少了监控和支持网络安全的开支。
肖鹏认为,持续的信息安全的解决方案与新奥集团当前的网络系统全面整合,实现了网络的全面防护和集中管理。
价值 Value
宾夕法尼亚州的“在线嗜好研究中心”执行董事Kimberly Young博士认为,雇主们“首先应当承认上网是容易使人们上瘾的”,然后再制定公平而适宜的政策来解决员工沉迷于互联网这个问题。她说,不要采取严酷苛刻、毫不留情的措施,那样会疏远员工并有可能给公司惹来官司,而应当制定合情合理的政策,并对员工进行教育和培训。
这点和江泰保险经纪公司的张光得先生的看法差不多,他也认为信息安全不应当把员工放在信息安全的对立面,而应该是由IT部门和人力资源部门对整个公司使用互联网的政策进行评估,看看公司是否已经制定了有效的员工政策?是否对这些政策做过调整,以适应互联网时代飞快前进的步伐?一旦企业明白了缺陷在哪里和应该怎样弥补,就能制定出企业E-mail及互联网运用的政策,并教育员工这些政策的意义及重要性,然后执行并不断强化这些政策。
关键是要不断地进行沟通交流,并要求每个人都阅读并认可信息安全的使用条款,才能够使政策深入人心。最后,政策中还应包括对屡教不改者给予公正合理的惩罚的条款。一般来说,制定政策的目的是使有价值的员工回归正轨,而不是将他们抛弃。
那么最终的结果会怎样呢?使生产率提高、使士气增强、使损耗降低,还能使企业少惹上许多官司。Kimberly指出,互联网是一个改变了做生意方式的神奇的交流工具。雇主和人力资源工作者如果能认识到随着互联网应用的深入而带来的问题会越来越多,他们就能使生产率得到提高,使公司在生意场上如鱼得水。
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
相关推荐
-
未来企业数据安全威胁及保护措施
Raluca Ada Popa是加州大学伯克利分校电子工程和计算机科学系助理教授,也是该学院RISELab的联 […]
-
安全、带宽、云计算:那些CIO必须不得不接受的IT现实
IT的快速发展在很多领域都超过了预期,IT技术人员开始感觉有些失控,例如,自以为很安全的系统,却轻松被黑;不管 […]
-
移动安全培训迫在眉睫
移动安全威胁,包括因用户使用习惯而导致的问题,如今已经无处不在。因此,让用户学会相应的防护措施,已迫在眉睫。
-
公司网络安全:别忽略数据
分析师可以帮助决定什么企业信息是最易受攻击的,哪里有安全流程漏洞,以及员工数据保护培训是如何缺乏的。