在降低员工向关键公司传播重要信息的风险方面,常识是什么?
截至今天,很明显,甚至美国政府和军方也不能确定他们的数据是否安全地在他们的大门之内。 因此,我明白我的问题可能应该写成: “让员工传播关键业务信息更难的常识是什么?
如果有人想传播信息,他们会find一个办法。 这就是生活的工作方式,并始终如一。
如果我们通过假设我们只有定期的John,而不是Linux爱好的系统pipe理员来缩小我们的员工队伍,从而让情况变得更加现实一点,那么应该采取什么好的预防措施,至less会使员工难以发送关键业务信息比赛?
据我所知,有一些显而易见的解决scheme显然有利有弊。
在现实世界中做什么是现实的? 大公司如何处理这个问题? 当然,我们可以把前雇主告上法庭并起诉,但是到那时已经造成了损害……
非常感谢
有很多事情可以做。 整个行业都围绕着“如何防止信息泄露”这个概念而build立起来的。 无处不在的静态数据存储和无线networking(包括wifi和3G / 4G)使得有线networking的安全性不像5年前那么严重。
和所有安全一样,pipe理例外可能非常棘手。 是的,您可以禁用所有的USB端口,但是在黑暗中会留下USB键盘,鼠标和打印机。 您可以禁止所有访问Facebook,但公共关系办公室肯定需要访问。 这个极度偏执的人可以禁止所有带有摄像头的手机(为了避免有人打电话给一个文件并邮寄给竞争对手),但是现在真的很难做到这一点。 然后有传统的家庭打印输出的老式方法。
如果有人真的想泄露信息,那一般很容易。
我不能强调市级规模的高带宽networking对安全态势的影响。 几乎每个人在口袋里都有一个照相机,并且可以容纳照片的电话计划,可以轻松地发送1-5页的文件,而无需触摸企业局域网。 如果启用了USB连接,许多智能手机都可以将本地存储器暴露给工作场所计算机,并将文件保存在其上,然后可以直接从电话发送文件,如果不是从家里传送出去的话。
电话摄像头“攻击”是特别隐蔽的,因为它不会像USB安装那样在公司设备上留下痕迹。
互联网访问限制阻止社交网站和所有已知的networking邮件提供商的讽刺意味是,它迫使人们在他们的手机上进行相同的服务。
大公司通过忽视难以pipe理的威胁来处理这个问题(参见上面的一个很好的例子),并pipe理他们可以低成本地pipe理的风险。 这意味着:
现在networking边界不仅仅局限于WAN / LAN分界线,它涉及到networking中将数据发布为任何forms的任何模拟forms的每一点,并且利用这种模拟孔的工具变得越来越好,越来越普遍。 和其他这样的事情。
在第一种情况下,我们是在讨论恶意活动/企业间谍活动? 还是愚蠢/疏忽? (都是真正的问题)。
无论是哪一种情况,首先要记下需要什么样的信息共享才能完成工作(记住IT尾巴绝对不要惹恼商业狗)以及工作场所的人力资源政策,这些政策规定,这是所有允许的,违规行为是纪律事宜。
除此之外,请记住, 员工是人为的 – 除非你在某个明显的地方工作,而且显然需要严厉的安全政策,否则员工就会疏远员工,损害生产力 – 记住你不能保护系统,因为保护系统很好玩, 你这样做是为了保护业务 。 保护业务的一部分不包括干扰和扰乱员工,没有好的目的。
最后,从“制定政策”的angular度来看,请记住IT安全并不存在。 如果物理安全不严格,lockingnetworking就毫无意义。 为什么有人需要闯入networking,如果他们可以走进办公室,拿起一个漂亮的小打印输出的数据,藏在饭盒里面走出去?
如果你不想让一个部门的人再次向另一个部门的人谈论保密业务,这就需要向他们说清楚。 再次强调,如果有人能够买一个朋友的午餐并向他们询问,那么lockingnetworking就毫无意义。
确保打印机和复印机得到适当的保护 – 人们将打印机放在各种文件上。 而打印机和复印机有时会保留上次打印文件的副本。
至于事情的实际IT方面…
你的6分是一个很好的起点,但是这里有几点需要注意:
configurationlocking和pipe理是一个好的开始,但是信息如何合理地到达和离开业务? 这些工作stream程可以被滥用吗?
如果你阻塞了所有的USB端口,那么鼠标是如何工作的? 毕竟这些通常是USB。 如果你离开一个端口,一个确定的小偷可以拔掉鼠标并插入USB驱动器。 所以也许你需要考虑基于软件的阻塞,禁止安装某些类别的设备。
如果你想走上这条路,你需要考虑复杂的电子邮件过滤。 而不是假设任何超过一定大小的文件都被封锁为不好,您需要各种可用的电子邮件过滤function,以扫描您定义的关键字和模式的内容,并据此采取相应措施。
分隔敏感办公室VLAN(如果不是完全物理上分离的networking)是很好的标准做法。 请注意,这将增加支持成本,并且可能由于接线的支持技术人员的人为错误而容易发生违规。
我肯定要做的一件事就是确保数据不是本地存储在工作站和笔记本电脑上,而是保存在中央服务器上。 这些应该更容易保证物理和电子方面。 考虑将文档存储在文档pipe理系统中 ,使您能够跟踪访问和所做的更改。 这也可以允许IRM控制谁可以对文档做什么。 这些系统不是万无一失的,但可以提供帮助。
关于这个主题还有很多东西可以说,但这些可能会给你一些有趣的想法。 这是一个主题,你可以写一本书(确实有几个人)。
简短的答案是你不能,你必须能够信任你的用户。 你所能做的只是根据他们的信任等级来限制某人可以访问的信息。 如果他们需要这份工作,但是你不相信他们拥有这份工作,那么你在这个位置上就有了错误的人。 大多数关键数据不会很大,但是像财务数字,客户信用卡号码等等。 例如,我们只有一个信用卡号码进入系统,不会显示给任何用户,甚至不会显示给客户。 财务报告是审计和审查,看看谁在哪里运行,从哪里。
正如你所提到的,如果有人想把东西拿出来,即使你阻塞了明显的路线,他们也会find办法。 例如,尝试阻止员工使用手机摄像头执行屏幕抓取或窃取打印输出。
我更喜欢监视和镜像显而易见的路线。 这鼓励用户走最less(监控)阻力的道路。 不要阻塞所有的USB使用,而是logging使用情况并将数据镜像到服务器(我们使用DriveLock) – 它也可以阻止USB存储,而不会阻塞USB键盘和鼠标。 定期对数据进行审计,并寻找奇数传输。
您可以使用BlueCoat设备为networking做类似的工作,但是您必须代理所有SSL连接,以使设备能够审计所有文件传输。 我会研究这些来覆盖你的(1)和(6)。 用户将会意识到这个代理。
如果您完全阻止访问设备或网站,请确保定期检查日志以查找失败的尝试,以查看谁在尝试执行什么操作。 尽pipe不截取内容本身,尝试很容易被拒绝,例如通过将CAD图纸重命名为familyphoto.jpg。
对于(5),使用BIOS启动密码来防止未经授权的硬件更改或启动媒体,否则任何用户都可以使用LiveCD启动并复制整个驱动器。
(3)如前所述是愚蠢的。 ACL和内容encryption更适合于此。
此外,在审核日志之前,如果需要收集更多的信息,请制定计划。 如果发现违法/可诉的事情,谁能更详细地嗅探? 在一家中等规模的公司开展审计工作并不常见,并立即发现一些丑陋的事情。
当然,在实施任何这些政策之前,先与贵组织的适当法律联系进行沟通,并在做任何事情之前获得书面许可。
你列出的东西是体面的,如果你真的有这样的关键信息。 从技术方面来说,logging一切 – 你不能阻止任何事情。 第3项有点愚蠢 – 只需在共享资源(文件,网站/ SharePoint等)上设置合适的ACL即可。
从非技术angular度来看 – 您可以有不竞争的协议。 正如你所说,你可以把雇员带到法庭。 这也是一种威慑,而不仅仅是一种补救办法 – 记住这一点。
您也可以通过这样的方式运营您的企业,使您的员工感到受到重视,并且不太可能参与此类行动。 这可能会或可能不会与运行在locking的地方,没有人被信任的任何信息。
贵公司持有的重要信息是什么? 如果它是专利或商业秘密,那么竞争对手就不能使用它(合法,AFIAK,IANAL等)。如果这是你的员工的经验和技能,艰难 – 你不拥有它,除非它是如此高价值你确实在一段时间内与他们有合约。 如果它是专有的(从我自己的经验来看,一个服务公司所信任的在全国范围内工作的大型承包商数据库) – 那实在是太棘手了。 从技术上讲,不要暴露整个数据库; 但是一个对这个项目感兴趣的人可以随着时间的推移收集最重要的信息,然后慢慢潜逃。