CIO：企业内部的威胁五大秘诀

安全公司Imperva的调查统计显示，企业与员工之间需要建立一个密切的合作关系，还要对知识产权等核心数据进行一个合理有效的监管。因此，这些企业在保护机密数据的方面，往往能够取得更大的成功。接下来我们便详细介绍一下预防内部威胁最有效的方法，企业需要明确地划分出他们的重要数据，与员工建立深厚良好的关系，并执行跨领域的安全政策。

“内部威胁管理包括一部分心理学应用与一部分技术应用，” 数据安全公司Imperva的安全主管Rob Rachwald说，“虽然人们对那些处理数据和管理知识产权的工作人员很重视，但在报酬方面，他们并没给予相同的重视程度。”

虽然内部威胁没有外部攻击那么频繁，但往往会造成更大的损失，特别是那些“危险人员”具有重要数据的访问权限的情况下。3月份的时候，Ponemon研究所发布了一份关于违约成本的调查结果，内部威胁的其中一种因素——忽视内部人员，是数据破坏的首要原因，其占美国违约事件的39%。

【在分析了数十份金融领域的内部泄露事件之后发现，在调查之前，内部威胁普遍已经持续了2年左右。金融机构的内部泄露问题虽然并不复杂，但却代价巨大。】

虽然该报告在10个业务领域中给出了近30个不同的建议，然而下面几条是一些企业最为成功的经验，以供大家参考。

1.企业员工的职业道德教育

应当怎样对待企业信息资产呢?企业需要让员工与管理层的观念保持一致， 因为大多数员工与他们的企业在观点上会存在差异。例如一项在伦敦进行的研究，其中44%的受访者会有随身携带客户或知识产权数据的习惯，即使他们不在工作当中。

Rachwald说：“成功企业会出台一系列的规章制度，并将其落实到位，且不断地表示：这些东西并不属于你，如果你将它带走就是犯罪。”

不受规章制度约束的离职员工同样很重要：一些企业的法律草案措辞很强硬，并提醒工作人员，若发现企业的敏感数据出现在你工作的新公司，你们将被就追究法律责任。此外，给机密数据也做上类似的标注，这样也是一个很好的预防措施。

2.在员工知情的情况下，对他们进行监视

企业对员工进行监视，这也是一项非常有效的防范措施。秘密监管策略能够抓到“内部危险分子”。对于因某些活动而被记录的员工，要频繁且委婉地进行警醒，这也是一个防止事故发生的很好的方式。

数据安全厂商Verdasys的总裁兼CEO Jim Ricotta说：“这样不仅仅是一个良好的习惯，也是企业对员工的一种有效教育方式。”

微信扫一扫实时了解行业动态

微信扫一扫分享本文给好友