這是一個(gè)以1%����、2%決勝負(fù)的商業(yè)時(shí)代,一個(gè)信息就可以左右企業(yè)的成敗����。這個(gè)信息在自己手里是王牌,在對(duì)手手里是炸彈���。如此重要的信息�,可能在老板的大腦里��、公司電腦里�、一個(gè)打印稿的背面,甚至在一個(gè)垃圾筐里����。隨時(shí)都有泄漏的可能,泄漏的結(jié)果輕則使公司蒙受損失�����,重則毀滅公司。你要怎么防備�����?
讓信息安全“不就是安裝殺毒軟件��,在電腦上設(shè)設(shè)密碼嗎�����?”當(dāng)你這樣想���,你就和全世界95%的人一樣�,都錯(cuò)估���、低估了信息對(duì)公司的致命影響�����;好在全世界還有5%的人,恐懼���、震懾���、急著應(yīng)變于信息對(duì)商業(yè)世界爆炸性的影響力����,他們是誰———諾基亞����、微軟,還有可口可樂……
當(dāng)你讀這篇文章的時(shí)候����,全世界又有2個(gè)企業(yè)因?yàn)樾畔踩珕栴}倒閉,有11個(gè)企業(yè)因?yàn)樾畔踩珕栴}造成大概800多萬的直接經(jīng)濟(jì)損失�。本文通過對(duì)100個(gè)經(jīng)理人的調(diào)查總結(jié)30個(gè)致命細(xì)節(jié),讓您快速成為信息安全專家����。
1、打印機(jī)———10秒延遲帶來信息漏洞���。即使是激光打印機(jī)�����,也有10秒以上的延遲�����,如果你不在第9秒守在打印機(jī)的旁邊�,第一個(gè)看到文件的人可能就不是你了。大部分的現(xiàn)代化公司都使用公用的打印機(jī)��,并且將打印機(jī)���、復(fù)印機(jī)等器材放在一個(gè)相對(duì)獨(dú)立的空間里��。于是����,部門之間的機(jī)密文件就可以從設(shè)備室開始�,在其他部門傳播,當(dāng)部門之間沒有秘密���,公司也就沒有秘密了���。
2、打印紙背面———好習(xí)慣換取的大損失�。節(jié)約用紙是很多公司的好習(xí)慣,員工往往會(huì)以使用背面打印紙為榮��。其實(shí)���,將擁有這種習(xí)慣公司的“廢紙”收集在一起�,你會(huì)發(fā)現(xiàn)打印���、復(fù)印造成的廢紙所包含公司機(jī)密竟然如此全面�,連執(zhí)行副總都會(huì)覺得汗顏��,因?yàn)閺U紙記載了公司里比他的工作日記都全面的內(nèi)容��。
3���、電腦易手———新員工真正的入職導(dǎo)師���。我們相信,所有的職業(yè)經(jīng)理人都有過這樣的經(jīng)歷:如果自己新到一家公司工作��,在自己前任的電腦里漫游是了解新公司最好的渠道�����。在一種近似“窺探”的狀態(tài)下�����,公司里曾經(jīng)發(fā)生過的事情 “盡收眼底”,從公司以往的客戶記錄��、獎(jiǎng)懲制度�,甚至你還有幸閱讀前任的辭呈。如果是其他部門的電腦�����,自然也是另有一番樂趣���。
4����、共享———做好文件��。局域網(wǎng)中的共享是獲得公司內(nèi)部機(jī)密最后的通道����。有的公司為了杜絕內(nèi)部網(wǎng)絡(luò)泄密,規(guī)定所有人在共享以后一定要馬上取消���。實(shí)際上越是這樣���,企業(yè)通過共享泄露機(jī)密的風(fēng)險(xiǎn)越大��。因?yàn)楫?dāng)人們這樣做的時(shí)候,會(huì)無所顧忌地利用共享方式傳播信息��,人們習(xí)慣的方式是在開放式辦公間的這邊對(duì)著另一邊的同事喊:“我放在共享里了��,你來拿吧———”沒錯(cuò)���,會(huì)有人去拿的��,卻往往不只是你期望的人�。
5�����、指數(shù)對(duì)比———聰明反被聰明誤�。在傳統(tǒng)的生產(chǎn)型企業(yè)之間,經(jīng)常要推測競爭對(duì)手的銷售數(shù)量��、生產(chǎn)數(shù)量���。于是�,人們?yōu)榱穗[藏自己的實(shí)際數(shù)量,而引入了統(tǒng)計(jì)學(xué)里的指數(shù)����,通過對(duì)實(shí)際數(shù)量的加權(quán),保護(hù)自己的機(jī)密信息����。唯一讓人遺憾的是,通常采取的簡單基期加權(quán)�����,如果被對(duì)方了解到幾年內(nèi)任何一個(gè)月的真實(shí)數(shù)量�����,所有的真實(shí)數(shù)量就一覽無余地出現(xiàn)在競爭對(duì)手的辦公桌上了�����。
6���、培訓(xùn)———信息保衛(wèi)戰(zhàn)從此被動(dòng)���。新員工進(jìn)入公司��,大部分的企業(yè)會(huì)對(duì)新員工坦誠相見�����。從培訓(xùn)的第一天開始���,新員工以 “更快融入團(tuán)隊(duì)”的名義�,接觸公司除財(cái)務(wù)以外所有的作業(yè)部門,從公司戰(zhàn)略到正在采取的戰(zhàn)術(shù)方法�,從公司的核心客戶到關(guān)鍵技術(shù)。但事實(shí)上���,總有超過1/5的員工會(huì)在入職三個(gè)月以后離開公司��。同時(shí)����,他們中的大部分沒有離開現(xiàn)在從事的行業(yè)���,或許正在向你的競爭對(duì)手眉飛色舞地描述你公司的一草一木���。
7��、傳真機(jī)———你總是在半小時(shí)后才拿到發(fā)給你的傳真����?���?傆袀髡媸恰皼]有人領(lǐng)取”的,每周一定有人收不到重要的傳真����;人們總是“驚奇地”發(fā)現(xiàn),自己傳真紙的最后一頁是別人的開頭����,而你的開頭卻怎么也找不到了。
8�����、公用設(shè)備———不等于公用信息�。在小型公司或者一個(gè)獨(dú)立的部門里,人們經(jīng)常公用U盤�����、軟盤或手提電腦。如果有機(jī)會(huì)把U盤借給公司的新會(huì)計(jì)用�,也就有可能在對(duì)方歸還的時(shí)候輕易獲得本月的公司損益表。
9�、攝像頭———揮手之間斷送的競標(biāo)機(jī)會(huì)?����?偛吭谏虾5囊患覈鴥?nèi)大型廣告公司�,在2016年3月出現(xiàn)的那一次信息泄露,導(dǎo)致競標(biāo)前一天�����,廣告創(chuàng)意被競爭對(duì)手竊取���,原因竟然是主創(chuàng)人員的OICQ上安裝了視頻,揮手之間����,斷送的或許并不僅僅是一次合作的機(jī)會(huì)。
10���、產(chǎn)品痕跡——靠“痕跡”了解你的未來���。在市場調(diào)查領(lǐng)域��,分析產(chǎn)品痕跡來推斷競爭對(duì)手營銷效果和營銷策略是通用的方法�����。產(chǎn)品的運(yùn)輸��、倉儲(chǔ)���、廢棄的包裝,都可以在競爭對(duì)手購買的調(diào)研報(bào)告中出現(xiàn)��,因?yàn)椤昂圹E分析”已經(jīng)是商業(yè)情報(bào)收集的常規(guī)手段����。
11、壓縮軟件——對(duì)信息安全威脅最大的軟件�。ZIP、RAR是威脅企業(yè)信息安全最大的軟件�。3寸軟盤的存儲(chǔ)空間是1.4M,壓縮軟件可以讓大型的WORD文件輕松存入一張軟盤�,把各種資料輕松帶出公司�。
12�、光盤刻錄——資料在備份過程中流失。如果想要拿走公司的資料�����,最好的辦法是申請(qǐng)光盤備份���,把文件做成特定的格式����,交給網(wǎng)絡(luò)管理員備份���,然后聲稱不能正常打開�,要求重新備份��,大多情況下��,留在光驅(qū)里的“廢盤”就可以在下班后大大方方帶出公司�����。
13�����、郵箱——信息竊取的中轉(zhuǎn)站��。利用電子郵件轉(zhuǎn)移竊取的公司資料占所有信息竊取的八成以上�����。很多企業(yè)不裝軟驅(qū)����、光驅(qū)、USB接口��,卻沒有辦法避免員工通過電子郵件竊取信息����,相比之下,以上方法顯得有些幼稚����、可笑。
14�、隱藏分區(qū)——長期竊取公司資料必備手法。長期在公司內(nèi)搜集資料�����,用來出售或保留,總是件危險(xiǎn)的事情����。自己的電腦總是不免被別人使用,發(fā)現(xiàn)電腦里有不該有的東西怎么行����。于是隱藏在硬盤分區(qū)就成了最佳選擇,本來有C��、D�、E三個(gè)虛擬分區(qū),可以把E隱藏起來���,只有自己可以訪問�。當(dāng)然��,如果遇到行家����,合計(jì)一下所有磁盤的總空間�,可就露餡了��。
15�����、私人電腦——大量竊取資料常用手段�����。壓縮軟件的作用畢竟是有限的��,如果把自己的筆記本電腦拿到單位來��,連上局域網(wǎng)�����,只要半小時(shí)����,就是有1個(gè)G的文件也可以輕松帶走�。
16、會(huì)議記錄——被忽視的公司機(jī)密����。秘書往往把會(huì)議記錄看得很平常�����,他們不知道一次高層的會(huì)議記錄對(duì)于競爭對(duì)手意味著什么���,公司里經(jīng)常可以看見有人把會(huì)議記錄當(dāng)成廢紙丟來丟去����,任由公司最新的戰(zhàn)略信息在企業(yè)的任何角落出現(xiàn)。
17���、未被采納的策劃案——放棄也是一種選擇�。策劃人員知道被采納的策劃是公司機(jī)密���,卻往往不知道被放棄的策劃也是公司機(jī)密����。有時(shí)還會(huì)對(duì)客戶或媒體談起���,而競爭對(duì)手可以輕松判斷:你沒有做這些���,就一定選擇做了那些!
18��、客戶——你的機(jī)密只是盟友的談資����。經(jīng)常可以在網(wǎng)絡(luò)上看到著名咨詢公司的客戶提案����,這些精心制作的PPT,凝聚了咨詢公司團(tuán)隊(duì)的汗水和無數(shù)個(gè)不眠之夜���,在一些信用較差的客戶手里可能只是一些隨意傳播的談資���。
19、招聘活動(dòng)——你的公司竟然在招聘總監(jiān)����?在招聘過程中,成熟的企業(yè)不會(huì)把用人的單位登在一張廣告里�,因?yàn)槟菬o異于告訴你的競爭對(duì)手:剛剛發(fā)生過人事震蕩,人力匱乏�。
20、招標(biāo)前兩分鐘——最后的底價(jià)總是在最后“出爐”。如果投標(biāo)的底價(jià)內(nèi)部公開越早���,出現(xiàn)泄露的風(fēng)險(xiǎn)越大���,在招標(biāo)開始前兩分鐘,面對(duì)關(guān)掉手機(jī)的參會(huì)者���,可以公布底價(jià)了���!
21、解聘后半小時(shí)——不要給他最后的機(jī)會(huì)���。如果被解雇的員工是今天才得到這個(gè)消息�,那么�����,不要讓他再回到他的電腦旁�����。半個(gè)小時(shí)的時(shí)間�����,剛好可以讓他收拾自己的用品,和老同事做簡短的告別���,天下沒有不散的筵席,半小時(shí)足夠了�,為了離職員工的清白,更為了信息安全��。
22���、入職后一星期——新人在第一個(gè)星期里收集的資料是平時(shí)的5倍��。只有在這一個(gè)星期里����,他是隨時(shí)準(zhǔn)備離開的���,他時(shí)刻處在瘋狂的拷貝和傳送狀態(tài)����,提防你的新員工���,無論你多么欣賞他�。
23、合作后半個(gè)月———競爭對(duì)手竊取情報(bào)的慣用手法是:假冒客戶�����。在初次合作的半個(gè)月里�����,你對(duì)信息安全的謹(jǐn)慎只能表明企業(yè)做事的嚴(yán)謹(jǐn)�����,可以贏得大部分客戶的諒解和尊敬�����。除非����,他是你的競爭對(duì)手。
24����、離職后30天——危險(xiǎn)來自公司以外���。一般情況下,一個(gè)為企業(yè)服務(wù)半年以上的員工�����,離職后30日之內(nèi)會(huì)和公司現(xiàn)有員工保持頻繁的聯(lián)系����,并且對(duì)公司的資料和狀況表現(xiàn)出極度的熱情�。如果是被限時(shí)離開,那么�,在離職30天內(nèi)通過老同事竊取公司信息的可能性就更大。
25����、明確對(duì)外提案原則——能不留東西的就不給打印稿,能不給電子檔的就盡量給打印稿��,能用電子書就不用通用格式�。
26、保密協(xié)議———無論作用大小�����,和員工簽定清晰的保密協(xié)議還是必要的。無規(guī)矩不成方圓����,明確什么是對(duì)的,人們才可以杜絕錯(cuò)的�。保密協(xié)議的內(nèi)容越詳細(xì)越好,如果對(duì)方心胸坦白�����,自然會(huì)欣然同意��。
27���、責(zé)任分解———明確每個(gè)人對(duì)相關(guān)信息的安全責(zé)任�����。所有的機(jī)密文件如果出現(xiàn)泄露���,可以根據(jù)規(guī)定找到責(zé)任人,追究是次要的�����,相互監(jiān)督和防范才是責(zé)任分解的最終目的。
28���、設(shè)立信息級(jí)別———對(duì)公司的機(jī)密文件進(jìn)行級(jí)別劃分����。比如合同��、客戶交往�、股東情況列為一級(jí),確定機(jī)密傳播的范圍�����,讓所有人了解信息的傳播界限���,避免因?yàn)閷?duì)信息的不了解而導(dǎo)致的信息安全事故。
29�����、異地保存———?jiǎng)e把雞蛋放在同一個(gè)籃子里�����。所有備份資料盡量做到異地保存,避免因?yàn)橹卮笫鹿剩ㄈ缁馂?zāi)���、地震����、戰(zhàn)爭等)對(duì)企業(yè)信息帶來致命的打擊�����。
30�����、認(rèn)為自己的企業(yè)在信息安全上無懈可擊��。
也許你會(huì)認(rèn)為���,“9·11”這種事情離自己太過遙遠(yuǎn)��,發(fā)生的幾率為0.1%��??墒窃凇?·11”之前����,誰又能想到世界標(biāo)志性建筑世貿(mào)大廈竟然在瞬間被毀滅���。“9·11”使美國許多企業(yè)遭受重創(chuàng)����,同樣,紐約大停電也給美國經(jīng)濟(jì)造成300億美元的損失��。
·從《商業(yè)周刊》看保護(hù)信息安全
美國時(shí)間2003年8月14日下午四點(diǎn)���,北美大部分地區(qū)突然停電���。誰也沒有料到這一停就是20多個(gè)小時(shí),而8月15日恰好是麥格勞希爾公司旗下《商業(yè)周刊》的出版日———麥格勞希爾公司全球首席信息官M(fèi)OSTAFAMEHRABANI講述了他們紐約大停電時(shí)的親身經(jīng)歷�����。
“當(dāng)時(shí)情況非常緊急����,許多人不斷詢問公司的業(yè)務(wù)情況��,而且第二天《商業(yè)周刊》能否正常出版更是得到人們的普遍關(guān)注。而實(shí)際上��,在停電瞬間�����,我們已經(jīng)把出版業(yè)務(wù)全部轉(zhuǎn)移到新澤西州��,因?yàn)樵谀俏覀冇幸惶讉溆迷O(shè)備���?��!?
“我們的電力系統(tǒng)很穩(wěn)定,備用發(fā)電機(jī)可以在沒有電的情況下持續(xù)工作好幾天���,所以我們的出版工作沒有受到任何影響���。第二天,《商業(yè)周刊》如期出版��?��!丙湼駝谙柟咀鳛樾畔⒎?wù)提供商��,保護(hù)信息安全成為頭等重要之事�。
對(duì)于中小企業(yè)來說,出于成本考慮建立一個(gè)數(shù)據(jù)備份中心并不是最恰當(dāng)?shù)慕鉀Q方案�,但在離自己電腦一段距離的地方做一個(gè)數(shù)據(jù)備份,花費(fèi)的成本幾乎為零�����,而許多企業(yè)尚沒有這種意識(shí)��,直到一場意外的雷擊摧毀了公司CEO的電腦為止�����。
·那些即將離職的員工是極度危險(xiǎn)的
因?yàn)椴徽摮鲇谑裁丛?���,他們都希望能夠?yàn)樽约阂院蟮墓ぷ鳙@取必要的資源?!皩?shí)際上,離職員工通過各種手段從原公司拿走一些資料已經(jīng)成為一種習(xí)慣�,當(dāng)然這些資料只是方便以后工作��,而不是直接用來出售?�!币晃浑x職員工很坦然地說��?����!拔覀兊墓蛦T可以在下班之后申請(qǐng)加班兩小時(shí)����,兩小時(shí)后他們會(huì)去刷門卡,讓電腦系統(tǒng)顯示此人已經(jīng)離開����。但是實(shí)際上,員工卻可以通過通向衛(wèi)生間的那道不鎖的門出入公司��,而不留下在公司超時(shí)逗留的證據(jù)��。于是����,他們會(huì)以最快的速度從同事的電腦上找到自己所需要的資料,就可以大大方方的帶走了�?�!边@位離職員工毫不避諱地講到�。
有些員工為了在應(yīng)聘時(shí)博得新雇主的喜愛���,總是很積極地回答雇主的每一個(gè)問題���,而其中有許多問題都是新雇主為了獲取競爭對(duì)手的資料故意設(shè)置的。
·微軟公司查看資料會(huì)被嚴(yán)格記錄
微軟��、西門子等公司則是從硬件設(shè)備上防止員工拷貝公司資料��,因?yàn)楦鶕?jù)級(jí)別區(qū)分�,他們大部分的員工電腦是不能安裝軟驅(qū)和移動(dòng)硬盤接口的。這在跨國公司內(nèi)是非常普遍的做法�。另外,IBM公司規(guī)定每個(gè)員工只有三次查閱同一文檔的機(jī)會(huì)���,并且這三次查看的時(shí)間���、地點(diǎn)、原因都會(huì)被嚴(yán)格記錄下來�。