【IT168 资讯】根据信息安全公司RSA的最新调查,大多数接受采访的员工表示,他们经常觉得有必要回避企业的安全政策,以便完成自己的工作。
这份调查指出,虽然许多公司都担心受到来自内部的恶意威胁,但是真正的危险却在于,大量看似无意的打破规则的行为——每天都发生在善意的员工身上。
一位专注于应用开发和集成的Gartner分析师Frank Kenney,将会告诉我们,为什么人们不遵守企业的安全规则——以及企业需要什么样的安全规则。
他们不了解规则
RSA调查发现,大部分受访者都认为,他们熟悉他们所在机构的安全政策。但是,并不是所有的政策都是非黑即白那么简单,Kenney如是表示。很多公司可能会发布一些晦涩难懂的信息给自己的员工。
“如果我在一家不能使用gmail的公司上班,而我又能够访问到gmail,那这说明这家公司并未给员工提供更好的方法来发送大型文件,而且他们也没能阻止gmail的使用,这样的话,我可以随心所欲使用gmail。”Kenney说道。
Kenney的话表明,如果一家企业坚持让自己的员工不能使用某些应用程序或者不能访问某些特定网站,那么公司需要做的,就不仅仅是把这些规定记载在公司手册里。CSO(Chief Security Officer,首席安全官)们必须确保工人都知道这些安全规则。此外,需要有相关配套的安全工具以防止有人越入雷池。如果公司不想让员工使用gmail,就要全天候屏蔽该网站。
没有人监督执行
即使公司制定了健全的安全规则,而且员工都了解这些规则,你有什么方法能够阻止员工破坏安全规则呢,如果他们知道没有人监督执行的话?
“如果你硬闯红灯,你知道会有警察等着你。”Kenney说道,“但是对于很多安全规则来说,员工知道即使破坏了安全规则也没有人来训斥你。”
RSA表示,这些受访者承认曾经在公用计算机上使用过公司邮箱。大多数人还表示,他们在无线网络环境下访问过企业邮箱。这两种行为都会把敏感的企业数据置于危险之中。但是,你的员工真的明白这点吗?而且他们为何要关心这些问题呢,如果他们未被发现的话?Kenney建议要对员工加强这些行为方面的培训,并采取进一步措施,实行奖惩分明,以保障安全规则的贯彻实施。
“符合安全规则的行为要给与奖励,这样的话,培训才会奏效。如果违背规则,要给与严厉惩罚,只有这样才会更有效果。”
规则妨碍生产力
Kenney说,自从IT进入了人们的视线,人们就一直关注安全问题以顺利完成工作。
“你可以锁定笔记本电脑防止人们通过闪存拷贝资料。但是,你知道他们会做些什么吗?他们会直接打印出来,并且做他们需要富有成效的其他事情。”
员工往往都认为IT和安全政策阻碍了生产力。事实上在某些方面,这的确如此,Kenney说道。在他看来,员工的最危险行为就是经常提及的、基于Web的免费服务,比如Yahoo,Hotmail或者gmail发送公司文件。
来自Aberdeen的一份报告显示,安全/管理文件传输产品的需求在各行各业得到快速增长,这主要是出于安全 共享大文件的需要。
“当员工使用Web电子邮件时,公司并不知道这些具体情况。他们需要能够保证文件安全传输的工具。”