以前大家的普遍共识是,数据的安全威胁主要是来源于外部,而非内部,所以对外制定了相应的数据保护安全措施。直到近几年,很多企业才意识到,员工泄露或破坏公司敏感数据,会给公司带来不可估量的影响。这一意识的转变,是从爱德华·斯诺登(Edward Snowden)事件开始转变——爱德华·斯诺登,曾任职NSA(美国国家安全局)外包技术员,登窃取了NSA重要机密文件。
除了斯诺登事件外,Boscom的一份公开报告也对以下观点提出了质疑:“公司数据的主要威胁来自外部:黑客、商业间谍和其他竞争对手”。这份报告揭示了一个令人不安的事实:有近85%的离职员工会带着公司敏感数据离职。而且员工想要带走敏感机密数据离职,是一件比较容易的事情。虽然斯诺登从NSA窃取的信息是极具有新闻价值的,但也显示了从内部泄漏数据的严重后果。
综上所述,大家就很容易理解,为什么公司很难保障数据安全,特别是这部分的安全风险来自于内部员工。员工访问公司内部数据,是工作需要。如果加以访问限制,可能会影响员工的正常工作,甚至影响整个公司运作能力。那这个难题是否无解呢?
我们用行业相关的实际场景来看看这个难题:外汇经纪公司。
经纪公司有不同的职能部门,每个部门的访问权限都不同。从销售代表到营销团队(如电子邮件营销专员),客户不同的分类信息,我们应该通过软件设置成对不同的职能部门和岗位分区可见。因为如果员工看到了他权限外的信息时,就会造成数据安全漏洞。这就是为什么按岗位划分数据权限,是非常重要的原因。这也是经纪公司目前保护信息免受内部潜在威胁,同时又不会影响生产力的唯一方法。
CRM管理系统和数据加密技术
在技术层面上,经纪商最适用保护数据的工具就是CRM管理系统和数据加密技术。前者允许管理层确定谁知道哪些数据,后者防止未经授权的人员通过外部设备(如黑客)访问信息。后者数据加密技术的一个好处是,它可以防止不良员工对外发送公司机密数据,因为如果被外传的数据,没有经过正确的数据解密,那些数据就会变得毫无用处。
为了更好地执行上述措施,经纪商更重要的是确定数据安全支持手段的实施策略。这意味着技术措施是由规章制度决定的,而不是由可用的手段决定的。除了采用技术防范措施外,管理层还必须明确规定内部规章制度,例如禁止在公司内使用U盘,禁止员工用他人账户登陆系统等等。这些要求看起来是不需言明的、员工都必须要遵守的,不需要做明确约定,但在实际过程中并不是这么容易防范。
数据漏洞随处可见
爱德华·斯诺登(Edward Snowden)事件让我们发现数据漏洞随处可见。毕竟,如果强大的美国国家安全局的数据都容易被盗,那何况一家企业呢?事实上,适当的数据安全措施,可以显著降低公司数据安全的脆弱性。提到爱德华·斯诺登事件,大家还需记住什么样的身份在窃取什么样的信息:美国国家安全局比普通企业拥有更多的机密信息,特工们也愿意冒更大的风险来获取这些信息。斯诺登等人是出于价值观原因窃取信息,而商业机密则是会被金钱和利润驱动而被盗取。所以,阻止商业机密被盗的措施,相对来说比较简单和经济实惠。
综上所述,我们生活在一个数据风险无处不在的世界,但同时也有许多技术解决方案和标准操作流程,可以显着降低这种风险。您需要保持警惕并提前应对潜在数据安全威胁,但也请记住,虽然数据安全威胁无处不在,但它是可控的,不必要为了过于维护数据安全而以牺牲企业生产力和利润为代价。
Leverate 利瑞 
