小心30个细节,一分钟毁灭你的公司
这是一个以1%、2%决胜负的商业时代,一个信息就可以左右企业的成败。这个信息在自己手里是王牌,在对手手里是炸弹。如此重要的信息,可能在老板的大脑里、公司电脑里、一个打印稿的背面,甚至在一个垃圾筐里。随时都有泄漏的可能,泄漏的结果轻则使公司蒙受损失,重则毁灭公司。你要怎么防备?
让信息安全“不就是安装杀毒软件,在电脑上设设密码吗?”当你这样想,你就和全世界95%的人一样,都错估、低估了信息对公司的致命影响;好在全世界还有5%的人,恐惧、震慑、急着应变于信息对商业世界爆炸性的影响力,他们是谁———诺基亚、微软,还有可口可乐……
当你读这篇文章的时候,全世界又有2个企业因为信息安全问题倒闭,有11个企业因为信息安全问题造成大概800多万的直接经济损失。本文通过对100个经理人的调查总结30个致命细节,让您快速成为信息安全专家。
1、打印机———10秒延迟带来信息漏洞。即使是激光打印机,也有10秒以上的延迟,如果你不在第9秒守在打印机的旁边,第一个看到文件的人可能就不是你了。大部分的现代化公司都使用公用的打印机,并且将打印机、复印机等器材放在一个相对独立的空间里。于是,部门之间的机密文件就可以从设备室开始,在其他部门传播,当部门之间没有秘密,公司也就没有秘密了。
2、打印纸背面———好习惯换取的大损失。节约用纸是很多公司的好习惯,员工往往会以使用背面打印纸为荣。其实,将拥有这种习惯公司的“废纸”收集在一起,你会发现打印、复印造成的废纸所包含公司机密竟然如此全面,连执行副总都会觉得汗颜,因为废纸记载了公司里比他的工作日记都全面的内容。
3、电脑易手———新员工真正的入职导师。我们相信,所有的职业经理人都有过这样的经历:如果自己新到一家公司工作,在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似“窥探”的状态下,公司里曾经发生过的事情“尽收眼底”,从公司以往的客户记录、奖惩制度,甚至你还有幸阅读前任的辞呈。如果是其他部门的电脑,自然也是另有一番乐趣。
4、共享———做好文件。局域网中的共享是获得公司内部机密最后的通道。有的公司为了杜绝内部网络泄密,规定所有人在共享以后一定要马上取消。实际上越是这样,企业通过共享泄露机密的风险越大。因为当人们这样做的时候,会无所顾忌地利用共享方式传播信息,人们习惯的方式是在开放式办公间的这边对着另一边的同事喊:“我放在共享里了,你来拿吧———”没错,会有人去拿的,却往往不只是你期望的人。
5、指数对比———聪明反被聪明误。在传统的生产型企业之间,经常要推测竞争对手的销售数量、生产数量。于是,人们为了隐藏自己的实际数量,而引入了统计学里的指数,通过对实际数量的加权,保护自己的机密信息。唯一让人遗憾的是,通常采取的简单基期加权,如果被对方了解到几年内任何一个月的真实数量,所有的真实数量就一览无余地出现在竞争对手的办公桌上了。
6、培训———信息保卫战从此被动。新员工进入公司,大部分的企业会对新员工坦诚相见。从培训的第一天开始,新员工以“更快融入团队”的名义,接触公司除财务以外所有的作业部门,从公司战略到正在采取的战术方法,从公司的核心客户到关键技术。但事实上,总有超过1/5的员工会在入职三个月以后离开公司。同时,他们中的大部分没有离开现在从事的行业,或许正在向你的竞争对手眉飞色舞地描述你公司的一草一木。
7、传真机———你总是在半小时后才拿到发给你的传真。总有传真是“没有人领取”的,每周一定有人收不到重要的传真;人们总是“惊奇地”发现,自己传真纸的最后一页是别人的开头,而你的开头却怎么也找不到了。
8、公用设备———不等于公用信息。在小型公司或者一个独立的部门里,人们经常公用U盘、软盘或手提电脑。如果有机会把U盘借给公司的新会计用,也就有可能在对方归还的时候轻易获得本月的公司损益表。
9、摄像头———挥手之间断送的竞标机会。总部在上海的一家国内大型广告公司,在2004年3月出现的那一次信息泄露,导致竞标前一天,广告创意被竞争对手窃取,原因竟然是主创人员的OICQ上安装了视频,挥手之间,断送的或许并不仅仅是一次合作的机会。
10、产品痕迹——靠“痕迹”了解你的未来。在市场调查领域,分析产品痕迹来推断竞争对手营销效果和营销策略是通用的方法。产品的运输、仓储、废弃的包装,都可以在竞争对手购买的调研报告中出现,因为“痕迹分析”已经是商业情报收集的常规手段。
11、压缩软件——对信息安全威胁最大的软件。ZIP、RAR是威胁企业信息安全最大的软件。3寸软盘的存储空间是1.4M,压缩软件可以让大型的WORD文件轻松存入一张软盘,把各种资料轻松带出公司。
12、光盘刻录——资料在备份过程中流失。如果想要拿走公司的资料,最好的办法是申请光盘备份,把文件做成特定的格式,交给网络管理员备份,然后声称不能正常打开,要求重新备份,大多情况下,留在光驱里的“废盘”就可以在下班后大大方方带出公司。
13、邮箱——信息窃取的中转站。利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB接口,却没有办法避免员工通过电子邮件窃取信息,相比之下,以上方法显得有些幼稚、可笑。
14、隐藏分区——长期窃取公司资料必备手法。长期在公司内搜集资料,用来出售或保留,总是件危险的事情。自己的电脑总是不免被别人使用,发现电脑里有不该有的东西怎么行。于是隐藏在硬盘分区就成了最佳选择,本来有C、D、E三个虚拟分区,可以把E隐藏起来,只有自己可以访问。当然,如果遇到行家,合计一下所有磁盘的总空间,可就露馅了。
15、私人电脑——大量窃取资料常用手段。压缩软件的作用毕竟是有限的,如果把自己的笔记本电脑拿到单位来,连上局域网,只要半小时,就是有1个G的文件也可以轻松带走。
16、会议记录——被忽视的公司机密。秘书往往把会议记录看得很平常,他们不知道一次高层的会议记录对于竞争对手意味着什么,公司里经常可以看见有人把会议记录当成废纸丢来丢去,任由公司最新的战略信息在企业的任何角落出现。
17、未被采纳的策划案——放弃也是一种选择。策划人员知道被采纳的策划是公司机密,却往往不知道被放弃的策划也是公司机密。有时还会对客户或媒体谈起,而竞争对手可以轻松判断:你没有做这些,就一定选择做了那些!
18、客户——你的机密只是盟友的谈资。经常可以在网络上看到著名咨询公司的客户提案,这些精心制作的PPT,凝聚了咨询公司团队的汗水和无数个不眠之夜,在一些信用较差的客户手里可能只是一些随意传播的谈资。
19、招聘活动——你的公司竟然在招聘总监?在招聘过程中,成熟的企业不会把用人的单位登在一张广告里,因为那无异于告诉你的竞争对手:刚刚发生过人事震荡,人力匮乏。
20、招标前两分钟——最后的底价总是在最后“出炉”。如果投标的底价内部公开越早,出现泄露的风险越大,在招标开始前两分钟,面对关掉手机的参会者,可以公布底价了!
21、解聘后半小时——不要给他最后的机会。如果被解雇的员工是今天才得到这个消息,那么,不要让他再回到他的电脑旁。半个小时的时间,刚好可以让他收拾自己的用品,和老同事做简短的告别,天下没有不散的筵席,半小时足够了,为了离职员工的清白,更为了信息安全。
22、入职后一星期——新人在第一个星期里收集的资料是平时的5倍。只有在这一个星期里,他是随时准备离开的,他时刻处在疯狂的拷贝和传送状态,提防你的新员工,无论你多么欣赏他。
23、合作后半个月———竞争对手窃取情报的惯用手法是:假冒客户。在初次合作的半个月里,你对信息安全的谨慎只能表明企业做事的严谨,可以赢得大部分客户的谅解和尊敬。除非,他是你的竞争对手。
24、离职后30天——危险来自公司以外。一般情况下,一个为企业服务半年以上的员工,离职后30日之内会和公司现有员工保持频繁的联系,并且对公司的资料和状况表现出极度的热情。如果是被限时离开,那么,在离职30天内通过老同事窃取公司信息的可能性就更大。
25、明确对外提案原则——能不留东西的就不给打印稿,能不给电子档的就尽量给打印稿,能用电子书就不用通用格式。
26、保密协议———无论作用大小,和员工签定清晰的保密协议还是必要的。无规矩不成方圆,明确什么是对的,人们才可以杜绝错的。保密协议的内容越详细越好,如果对方心胸坦白,自然会欣然同意。
27、责任分解———明确每个人对相关信息的安全责任。所有的机密文件如果出现泄露,可以根据规定找到责任人,追究是次要的,相互监督和防范才是责任分解的最终目的。
28、设立信息级别———对公司的机密文件进行级别划分。比如合同、客户交往、股东情况列为一级,确定机密传播的范围,让所有人了解信息的传播界限,避免因为对信息的不了解而导致的信息安全事故。
29、异地保存———别把鸡蛋放在同一个篮子里。所有备份资料尽量做到异地保存,避免因为重大事故(如火灾、地震、战争等)对企业信息带来致命的打击。
30、认为自己的企业在信息安全上无懈可击。
也许你会认为,“9·11”这种事情离自己太过遥远,发生的几率为0.1%。可是在“9·11”之前,谁又能想到世界标志性建筑世贸大厦竟然在瞬间被毁灭。“9·11”使美国许多企业遭受重创,同样,纽约大停电也给美国经济造成300亿美元的损失。
·从《商业周刊》看保护信息安全
美国时间2003年8月14日下午四点,北美大部分地区突然停电。谁也没有料到这一停就是20多个小时,而8月15日恰好是麦格劳希尔公司旗下《商业周刊》的出版日———麦格劳希尔公司全球首席信息官MostafaMehrabani讲述了他们纽约大停电时的亲身经历。
“当时情况非常紧急,许多人不断询问公司的业务情况,而且第二天《商业周刊》能否正常出版更是得到人们的普遍关注。而实际上,在停电瞬间,我们已经把出版业务全部转移到新泽西州,因为在那我们有一套备用设备。”
“我们的电力系统很稳定,备用发电机可以在没有电的情况下持续工作好几天,所以我们的出版工作没有受到任何影响。第二天,《商业周刊》如期出版。”麦格劳希尔公司作为信息服务提供商,保护信息安全成为头等重要之事。
对于中小企业来说,出于成本考虑建立一个数据备份中心并不是最恰当的解决方案,但在离自己电脑一段距离的地方做一个数据备份,花费的成本几乎为零,而许多企业尚没有这种意识,直到一场意外的雷击摧毁了公司CEO的电脑为止。
·那些即将离职的员工是极度危险的
因为不论出于什么原因,他们都希望能够为自己以后的工作获取必要的资源。“实际上,离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯,当然这些资料只是方便以后工作,而不是直接用来出售。”一位离职员工很坦然地说。“我们的雇员可以在下班之后申请加班两小时,两小时后他们会去刷门卡,让电脑系统显示此人已经离开。但是实际上,员工却可以通过通向卫生间的那道不锁的门出入公司,而不留下在公司超时逗留的证据。于是,他们会以最快的速度从同事的电脑上找到自己所需要的资料,就可以大大方方的带走了。”这位离职员工毫不避讳地讲到。
有些员工为了在应聘时博得新雇主的喜爱,总是很积极地回答雇主的每一个问题,而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。
·微软公司查看资料会被严格记录
微软、西门子等公司则是从硬件设备上防止员工拷贝公司资料,因为根据级别区分,他们大部分的员工电脑是不能安装软驱和移动硬盘接口的。这在跨国公司内是非常普遍的做法。另外,IBM公司规定每个员工只有三次查阅同一文档的机会,并且这三次查看的时间、地点、原因都会被严格记录下来。
·围追堵截员工的犯罪行为
2003年8月,可口可乐奥运新包装的保密机制是值得中国企业学习的。在计划进行之前,可口可乐公司与了解设计方案秘密的北京奥组委签订了保密协议,要求合作伙伴不可以透露任何有关新包装的事宜。与此同时,制罐厂也采取了严格的防泄密措施。“空罐被黑色胶布封起来,制罐厂24小时都有专人把守,只有30名工人加班参与生产;在运输时,空罐被放在了上锁的全密封货柜车内,拿着仅有的一把钥匙的人并不随车走。这就从硬性的规定上防止员工泄密,”可口可乐驻北京对外事务部负责人翟梅说。
·克制“大嘴巴”雇员的说话欲望
企业领导者无意间泄漏公司机密对企业造成的伤害也是不可估量,因为毕竟他们所掌握的信息比普通雇员要多许多。2004年2月18日上午,某媒体披露了神州数码财报中的部分数据。但是按照证监会规定,有关财报的所有资料都必须等到19日也就是媒体披露的第二天才能公开。未经国家相关部门审查提前披露公司财报是违法的。这家媒体之所以获得了这些数据,是神州数码某高层在接受记者采访时无意说出来的。当然,普通员工的口风也是公司应该注意的。他们在参加各种会议和贸易展览时,总是很乐意吹嘘自己如何克服技术困难,却因此泄漏了机密的信息。
·敌人随时都瞄准你的任何一个漏洞
几年前,一家著名的市场调查公司调查麦当劳的产品销售量,他们使用了痕迹调查方法,收集了当天麦当劳所有的垃圾,雇用了许多临时工从麦当劳店内收集垃圾,包括包装纸盒等。他们就是通过计算这些垃圾得出了麦当劳每一种产品的销售量,并且推算出麦当劳下一年的销售计划。在这之后,麦当劳店内的垃圾都要经过自己的处理后才运走。
同样的事情也发生在雅芳和玫琳凯化妆品公司之间。雅芳就曾经雇佣私人侦探收集了玫琳凯的丢弃物,并且进一步破解了竞争对手的新化妆品配方。对于玫琳凯来说,她无法夺回这些珍贵的东西,因为雅芳只是研究了它的垃圾而已,这是完全合法的。
“实际上,现在的中国企业在技术上与国外已经趋于同步,无论是防火墙还是杀毒软件,还是VPN技术,早已经与国际接轨,”安氏(isone)CTO陈政说。但是,中国企业在保卫公司信息安全方面总是显得如此单薄,漏洞百出。因为他们根本没有意识到需要让每一个员工来共同保卫公司安全。
·要让员工树立起保卫公司安全的意识
某软件公司20世纪80年代末期编写的软件程序磁带占用了仓库大量的空间,公司所有的年轻员工都主张卖掉这批已经没有什么参考价值的资料,但遭到了一位曾参加编写的工程师的竭力反对,而他的理由很简单却也很重要:“这些东西对大部分人来说没有参考价值,但是一旦被卖到国外,就非常危险。”所以,从管理的角度来讲,首先就是要让员工树立起保卫公司安全的意识。当然,员工的办公安全也是企业应该考虑到的问题。因为大部分治安严谨的小区都有自己的网络监控和电话监控系统。
·用严格的规定来保证攻击者无懈可击
如果竞争对手在小区内对企业员工进行监控,他们可以轻而易举地获取相关资料。对于这一点,诺基亚的解决方案很实用:“我们外出办公的员工在登陆公司局域网时要通过公司为其专门设置的密码,而且这个密码是不断更改的。一个员工不可能长期使用同一个密码进入公司的局域网,”诺基亚中国区企业解决方案部王磊说。所以对于企业的领导者来说,要减少外部攻击对企业造成的损伤,除了要花大笔的费用引进技术外,还必须用严格的规定来保证攻击者无懈可击。·苍蝇不叮无缝的蛋
国防科工委网络要求内外网络严格隔离,因为他们要保护的是红头文件,但是限制几千人联网的权力是一件非常吃力的事情。于是,国防科工委的院长亲自带队查处。他们严格监控自己的外网出口,一旦发现内网有人通过外网出口传输文件,就会马上跟踪IP地址,而等待这个员工的将是严厉的处罚。(完)
金羊网
回复Comments
作者:
{commentrecontent}