數(shù)據(jù)泄露不要怪罪員工 非惡意泄露才是常態(tài)
假定員工想要盜取商業(yè)秘密會造成員工敵視安全團隊,制造壓力,降低生產(chǎn)力。
發(fā)生數(shù)據(jù)流出可信網(wǎng)絡(luò)的情況時,人們會下意識地懷疑其中牽涉惡意目的。我們常看到新聞媒體報道員工偷盜公司數(shù)據(jù)的事件,然后就推而廣之,得出數(shù)據(jù)泄露往往惡意的結(jié)論。某些情況下,數(shù)據(jù)泄露可能真的是出于惡意目的,但事涉值得信賴的員工外泄數(shù)據(jù)時,我們應(yīng)該花點時間深入挖掘一下,多了解點信息,尤其是考慮到數(shù)據(jù)滲漏情況往往是員工失誤或疏忽造成的。
絕大多數(shù)員工都是善良勤奮的人,從來沒想過引發(fā)網(wǎng)絡(luò)安全問題。事實上,2020年,17%的數(shù)據(jù)泄露事件是由人為失誤引起的,比2019年多一倍。
或許新員工在自己的工作設(shè)備上添加了個人iCloud云盤,卻沒意識到其默認設(shè)置會導致公司數(shù)據(jù)自動上傳到iCloud賬戶。或者,新冠肺炎疫情期間遠程辦公的團隊成員可能用自家個人筆記本電腦訪問了文件。無論如何,員工沒想過故意引發(fā)問題。安全團隊假設(shè)員工故意破壞,無法預(yù)防未來的數(shù)據(jù)丟失。
事實上,假設(shè)員工想要盜取公司知識產(chǎn)權(quán)或商業(yè)秘密,反而會導致安全團隊和員工互相敵視,從而造成不必要的安全相關(guān)壓力。我們需要更好的理念,從假定員工只不過是想完成工作開始,從假設(shè)員工的行為都是出于善意開始。
善意安全文化的構(gòu)建,始于員工上班的第一天。即使只討論五分鐘,也要在入職過程中融入安全意識。可以利用這點時間定下安全文化基調(diào),說明公司安全團隊不是等著抓人的,公司需要員工幫助保護公司資產(chǎn)。此外,還應(yīng)該打好員工如何與安全團隊緊密合作的基礎(chǔ):需要幫助時應(yīng)該找誰?遇到問題時應(yīng)該找誰?要報告問題或顧慮時應(yīng)該找誰?
定期提供有效的網(wǎng)絡(luò)安全培訓也很重要,要將公司員工放在安全英雄的位置上,而不是將他們當作敵人。與其只關(guān)心惡意數(shù)據(jù)盜竊,不如教育團隊將精力放在數(shù)據(jù)無意泄露的常見方式上,從而提高安全意識,防止將來再次出現(xiàn)此類事件。
無論哪種培訓,深入人心、效果持久才是最終目的。如何做到這一點呢?讓培訓本身具有吸引力。改變培訓形式,并盡可能增加培訓的交互性。可以將網(wǎng)絡(luò)釣魚演練當作安全挑戰(zhàn):員工不點擊測試電子郵件和報告測試郵件都可以增加自己的得分;并且向員工說明舉行網(wǎng)絡(luò)釣魚培訓的原因。數(shù)據(jù)安全公司Code42通常會提示新員工,說明公司舉行網(wǎng)絡(luò)釣魚測試并不是要耍人,而是幫助他們學會識別并報告可疑電子郵件。期待員工精通自己從未有機會實踐過的事情是不現(xiàn)實的。
透明度具有兩個方面的重大作用。Code42要求員工在出于業(yè)務(wù)或個人原因需要遷移或共享文件時通知公司。例如,正在辦理離職的員工通知公司安全團隊,說自己計劃將工作盤上存儲的一些個人照片轉(zhuǎn)移到自己的個人盤上。這種主動告知的行為很有幫助,不僅可以縮短調(diào)查時間,安全團隊也有機會建議更加安全的轉(zhuǎn)移方式,比如使用加密盤。
公司仍然有可能遭遇員工惡意滲漏數(shù)據(jù)。但假設(shè)數(shù)據(jù)泄露背后的人員并非惡意,仍是面對數(shù)據(jù)泄露的最佳方式,因為非惡意泄露才是常態(tài)。詢問員工有關(guān)安全失誤或錯誤的情況時,所用的語言和措辭可以在很大程度上顯示出公司的善意,讓員工放下戒心,愿意與安全團隊合作。
例如,檢測到可疑文件傳輸時,可以給員工發(fā)個留言說,“我們注意到有文件被傳輸?shù)絺€人電子郵件賬戶,您能確認一下是否知情嗎?”,而不是“我們收到通知,您將文件傳輸?shù)搅藗€人電子郵件賬戶,所以我們要鎖定你的計算機”。或者,如果有人沒完成要求的安全培訓,你可以說:“我們的記錄顯示,您的安全培訓已過期,您能確認嗎?”很多情況下,這種詢問會收到員工發(fā)來的回復,問哪里可以找到該培訓,表明這不過是個教育/溝通問題,而不是故意無視。
安全問題會催生很大壓力,無論是對員工還是對安全團隊。我們需要重塑并加強安全敘事,強調(diào)大多數(shù)員工都是善意的。這么可以向員工表明,安全團隊將公司員工看做值得信賴的安全合作伙伴;還可以使業(yè)務(wù)部門在安全方法上更加高效和主動。
