一 信息的定义及其重要性
每一年,由于信息泄漏而给企业造成重大损失的新闻报道屡见不鲜,信息泄漏仿佛成为企业发展过程中的必然遭遇,小到个体私营,大到国企乃至跨国集团,信息泄漏这一陋习如影随形。然而令人惋惜的是,这么多年来,纵使有前人的不懈研究,却始终未见具有高度可行性和有效性的信息泄漏防御手段问世,这不得不说是企业界的一大遗憾。
但是,真的是没有行之有效的方案吗? 这也不见得。
笔者认为,真正造成的信息泄漏泛滥成灾的主要因素在于人。因为领导的安全意识不足或者对此不够重视而疏忽对企业安全保密制度的制定和施行以及员工的安全保密教育,因为员工缺乏安全意识或者根本没有接受过保密培训而对企业无所不在的信息泄漏隐患熟视无睹或对无孔不入的间谍窃密行为置若罔闻…… 古人云:不知其然,故不知其所以然。这句话用在本文可以理解为:不知信息的重要性,故不知信息安全的重要性;而不重视信息安全,则必然面临信息被泄漏的危险,并最终遭遇利益损失。
上文提到;造成的信息泄漏泛滥成灾的主要因素在于人,因为人不够重视才让信息白白流失,而归根到底,不够重视的原因则是对“信息”这一概念了解的不足。那么,下文将对“信息”这一名词及其重要性作详细阐述。
信息,在哲学上的表述是物质世界的运动状态与转换方式,是物质的本质属性。信息由信息源、内容、载体、传输途径和传播者五部分构成,下面我们从信息安全的角度一一对它们进行分析——
信息源:即信息的来源、出处、诞生地;显而易见,在本文所述的信息安全中,信息源就是企业,具体可以到正在研发某项新课题的技术部,掌握公司全体员工资料的人事部,或者保管某份资料的某经理,负责给领导传送或打印文件的某秘书等等。
内容:这是信息范畴内最主要的也是最关键的部分,信息的价值即体现于此;在本文中,它可以是一篇技术分析报告,一份公司人事档案,甚至可以是一句公司内网的通行口令,会议后被公布的一张与会人员记录,甚至是垃圾箱内被废弃的未彻底销毁的某文件等等。
载体:即承载信息的媒体设备,可以是纸张,照片,手机,光盘,mp3播放器,数码相机……
传播途径:即信息经由哪种渠道流出公司。在当今这个信息时代,手机通讯无疑是信息泄漏事案件的首犯,短信、彩信甚至通话都可以让人轻而易举地达到信息外泄的目的。另外,网络也不失为一种极佳的泄密渠道,前文提过当代企业越来越多的把公司相关资料电子化并存储流通于公司内网中,这给信息泄漏提供很大的便利。不过,随着企业内网的改造,更多的公司开始限制其员工对网络的使用,比如禁止链接互联网,或禁止收发邮件等,这些举措都可以在一定程度上达到防止信息经由网络泄漏的目的。
传播者:毫无疑问,当然是人!不过有一点值得一提,那就是人分善恶,信息泄漏可能是处心积虑的间谍或内奸,也可能是缺乏保密意识的普通员工,我们要分而治之,多管齐下,才能最终达到信息泄漏防御的目的。
在当代,信息是一种非常重要的资源,所以信息泄漏具有严重的危害性,小到个人隐私,大到企业情报,乃至国家政府机密,信息一旦泄漏,不但有损自身形象名誉,更给对手和敌人以可乘之机。现代社会竞争如此激烈,企业的生存日益艰难,所以只要有迹可寻、有利可图,就会引发一系列疯狂的乃至不道德的商业行为,而打击竞争对手的最大利器莫过于掌握对方的第一手情报。至此,滋养信息泄漏的最大温床昭然若揭。
笔者认为,造成企业信息泄漏的最大因素的确来自于企业内部自身,而具体的表现形式又是多样性的。
从全局看,企业安全防范意识淡薄,保密简单体制不够完善,敏感数据监管力度不足,员工缺乏安全保密教育,是造成企业信息泄漏的四大根源。这四者或多或少的存在于各大中小企业之内,由于缺乏足够重视或者根本不知其重要性,此四者像寄生虫似的潜伏在企业内部各机构,虽然其病害在大多数情况下尚不足以对企业造成致命性打击,但是它们会在缓慢的吸收营养的过程中将企业一步步带向衰弱,甚至死亡,而泄漏的信息就是被这四条寄生虫所吸去的营养。
从个体看,员工由于缺乏保密意识而在不经意间将自己手中掌握的企业重要信息泄漏给第三方,员工由于对企业的不满或愤恨情绪而恶意地将企业的敏感信息泄漏到公共媒体上,员工由于受到利益诱惑而故意将企业机密泄漏给商业对手,或因受到人身名誉等威胁而不得不为恶势力窃取企业机密……
总之,在竞争激烈的当代社会,信息也可能成为一种无价之宝,企业为了占领市场谋求利益,获取第一手的市场信息,掌握对手的内部资料,已是必行之径。因此,这就为信息泄漏的故意为之提供了滋长的温床,如不尽早治理,恐怕千里之堤终会溃于蚁穴。
二 保护“无处不在的安全”
市场上已有的“信息泄漏防御”方案主要是针对硬件设备的信息流通限制而言,是从客观的角度对防御信息泄漏所进行的强制性规定;然而机器设备毕竟是死的,即使它能做出某些判断,那也是根据工程师事先的设定而进行的机械应答,再发达的计算机程序也不可能真正做到像人类一样思考,因此,满足于基于软硬件的信息泄漏防御手段的想法是不可取的,也是不理智的。就像机器永远无法取代人一样,经由公司网路泄漏出去的信息远不如员工在经意或不经意间向外人吐露的,说到这里,笔者不得不再重申一遍——造成信息泄漏的主体是人,导致公司信息外流的始作俑者是员工。
因此,抓信息泄漏防御的重点还是在于人,把员工教育好、管理好、监督好,让公司上下团结一心,形成一堵密不透风的墙,那么无孔不入的商业间谍将无从下手,无所不在的安全将无迹可寻;至于内奸——在如此和谐的公司大家庭,你说谁还愿意自甘堕落,扮演坏人呢?记住一句话:虽然防人之心不可无,但是,请相信——人性本源是善良的,教育引导永远胜于强制和惩罚。
在治水专业里有这么一句话:堵不如疏,疏不如防。意思是说:想要治理洪水,用堵截的办法不如疏通来理想,不过疏通并不是最佳行为,最好的办法是“防”:在未发生洪灾前就做好防御工作,这样就算不能真的避免洪灾,至少我们已经准备好一切对应的手段,不会被打个措手不及。类似的,信息泄漏防御的道理也和治水一样,关键还是在于“防”字。
笔者发现,现代人的保密意识并不如想像中那么强,比如,你见过在公共场合大声讲电话的人没有,你有没有注意他(她)的谈话内容,也许不经意间那人就把自己的姓名电话甚至家庭地址所在公司统统泄露给你了。像笔者有一次乘公交车,邻座是一个穿着白色制服的年轻职业女性,上车不久她就拨打了三通电话,具体通话内容就不在此赘述,总之,当她讲完电话,笔者整合这位女士的通话内容并结合一些推理学识,已经得知这位小姐叫杨X(呵呵,和笔者还是本家呢),在某保险公司上班,她刚才连续打电话是因为与她们公司签单的一家经营橡胶的公司的保单即将到期,却未在保险公司规定期限内(保单到期前三天内)及时交付续单款。从杨小姐的单方言语笔者就推测那家橡胶公司似乎不愿与该保险公司继续合作,因为对方的接待人员总是言辞闪烁,并抱怨频频,对于杨小姐建议的尽快转账也显得意兴阑珊甚至不厌其烦。至此,如果笔者是有心人(比如该保险公司的竞争对手),很有可能经过刚才这位杨小姐的信息泄漏,笔者已经有了从该保险公司手中抢到与那家橡胶公司合作的机会和筹码。而那家保险公司将面对失去一个合作伙伴的遭遇。
以上可见,日常工作生活中的很多细节都可能造成信息泄漏,也许很多泄漏的信息看似无伤大雅或者貌似无害的,但是在有心人眼中,经由逻辑推理的统计整合评估,得出的结论很有可能就是暴露企业硬伤的祸首。祸从口出,不得不防啊!
要让员工管好自己的嘴——这就是防御企业信息泄漏的关键举措!
那么,要如何实现,请看下文——
一,教育:教育是每个人在社会中必须也必然会受到的行为和思想的正确引导。身为企业管理者,必须肩负起教育下属员工的责任。你是管理者,是管人的人,所以你必须知道信息保密的重要性,你也必须知道什么是信息泄漏,为什么会发生信息泄漏,是怎样发生泄漏的,你还必须知道怎样教育引导你的员工什么话该说,什么话不该说,哪些说多,哪些说少,哪些义正严辞,哪些闪烁其辞,员工在进入企业前不可能或者很少接受这种保密教育,所以教育他们学会保密是你的责任,是你为什么能开汽车住别墅的缘由。也许你真的不懂这一门学问,你只会谈项目,抓生产,作报告,那也无所谓,你可以请人代劳,请培训师,请专家等等。总之,员工的保密教育决不能疏忽,也决不能轻视,更不能缺省!
二,监督:教育之后还必须监督,世上没有一劳永逸的事,正如物理上制造不出永动机来一样。不可能一次两次教育之后员工一个个就像特种兵一样嘴巴严得用金箍棒也橇不开,人有失言嘛。所以,教育之后还要做好监督工作。怎么监督?互相监督!当然不是要你把公司内部搞得人人自危,好像民国时代的白色恐怖似的。笔者的意思是让每一个员工都成为可以有效约束他人言行的具有主人翁意识的的监督者,不必专门去设立什么信息泄漏监督部门,主要引导员工认识到这么一个事实——信息安全无处不在,商业间谍更是无孔不入;要培养起员工的公司主人翁意识,哪怕是扫地的大妈,或是看门的保安,要让他们知道:公司是属于大家的,公司的发展要靠所有人的共同努力才能实现,无论对公司贡献多少大小,公司与你一损俱损,一荣俱荣。
三,惩罚:看清楚,不是“赏”罚!笔者不建议靠设立奖赏制度来维护公司的信息安全,因为这容易误导员工为了蝇头小利或打击报复或谄媚上司而处心积虑甚至无中生有地挖寻同事身上可能存在的泄密行为。我们鼓励的是基于同事友谊的善意的提醒,而绝非从中谋求利益或以此为要挟。——要惩罚!管理学上有这么一种关于员工犯错的评定:第一次是不知道,第二次是不小心,第三次是故意(因为事不过三嘛)。在惩罚泄密员工是也可以参照这一方法,当然也要视所泄漏秘密的机要性来评判,一次警告,二次处罚,到第三次——这样的员工你还留着做什么,赶紧开除吧。
三 防御“无孔不入的间谍”
下面,我们再来谈谈关于商业间谍行为的话题。笔者在前面分析过,面对日益激烈的市场竞争,企业为了在同行中脱颖而出,除了完善自身产品性能和服务质量外,关键还必须及时了解并掌握市场动态和竞争对手的生产意向——这就是导致商业间谍行为在当代企业频频发生的最大因素。
兵法有云:知己知彼才能百战不殆。早在两千多年前的古战场上就有“斥候”这一兵种出现,斥候即情报收集人员,也就是现在所谓的间谍,他们都是经过严格训练和精心指导的专业人员,他们敏锐的目光能第一时间洞穿战场的一切真假态势,并将情报及时反馈给后方指挥部,他们对战争的胜负从其诞生之日就起着不可估量的重要作用。我们现在谈论的是商业竞争,当然不可能发生像战争中那种大规模派遣谍报人员的现象,但是商业间谍这一身份确确实实存在于某些现代企业内部。
为了方便读者逐步地认识所谓的商业间谍,下面我们先对其分类,然后进行细化分析:
根据对目标企业数据或信息的施为可分为:窃取型和破坏型;
根据与目标公司的从属关系可分为:外来卧底和内部叛徒;
根据对间谍行为的熟练程度可分为:专业型和临时工型;
根据为达到目的所采取的手段可分为:诱导型和强制型;
1,窃取型和破坏型:窃取型事件的发生多半针对新技术或新发明,为了不劳而获或者赶超竞争对手而雇佣或派遣窃密人员潜入目标公司或以利益引诱目标公司员工从而拷贝或直接取走资料;破坏型则多数因为嫉妒或担忧目标公司产业升级对己方市场威胁加剧而进行打击报复。在现代,以上两型的施为者更多的是以黑客为主,运用黑客手段既避免了潜入的人身危险又利于躲避追捕及时逃窜,并且电子介质的资料更方便于藏匿和传送。
2,外来卧底和内部叛徒:派遣卧底到目标公司属于长期战略的范畴,一般多见于大公司;相较之下,内部叛徒才防不胜防,他们了解公司内部格局及人员,没有卧底的心理负担,一般都是临时起意充当窃密者的,可能是被威胁,又或者受到利益诱惑。
3,专业型和临时工型:专业型商业间谍涉及社会众多阴暗面,故在本文中不多阐述,读者只需知道他们就像战场上的特种兵,是受过专门训练的,是精于此道的即可;相反的,临时工型的要求就不需那么高门槛了,甚至可以以此为兼职。在此笔者不妨举几个例子:如某公司的员工经常叫同一家快餐在公司里吃,而且都由同一个快递员送来,员工当然不可能做到有外人在的时候闭口不言,桌上的资料文件也不可统统收起,因此那个快递员听多听少看来看去怎么也能了解一些信息吧,而随着熟悉程度的加深,员工可能会对这个快递员减轻戒心,那么彼此交谈时公司的敏感信息可能就会脱口而出——信息就这样泄漏给外人了。再比如外来的水电修理工,那可是要在部门里停留相当一段时间的,如果那人在修理电路同时顺便装上个窃听器什么的,若在场没有监督人员,还不是随这些外来者为所欲为。而一旦这些可以轻易进入目标企业的外来者收到某些别有用心者的指使或雇佣,再严密的电子防御不过尔尔。
4,诱导型和强制型:很明显,这两型都就是针对具体对象的心理弱点,分别采取利益诱惑或者把柄威胁之类的手法达到指使该对象从企业内部非法获取相关资料并转交给别有用心者的目的。再举两个例子,公司某员工是不是正因为没钱支付子女的学费而发愁,是不是家中有重病的亲属急需手术费用,作为公司领导者有主动去关心这些吗?公司内部是不是有属于婚外情的办公室恋情,这是秘密吗,当事人会害怕被曝光吗,谁手中有照片等证据?
要有效地遏制间谍行为在本企业的发生,教育员工仍然是首要工作,人不学不知道,只有知道之后才有可能来讲防御和对抗。一家企业无论规模再大,目标再宏远,它要发展都必须首先从员工的教育抓起,这有点类似于“攘外必先安内”的论断。
然后是调查,掌握员工的经济情况,婚姻状况等等,从根本上杜绝一切来源于内部的诱导型或强制型窃密行为的发生。必要时可以设立举报机制,让受到诱惑或威胁的员工主动向公司报告状况从而向公司寻求帮助,也让公司有机会介入对外部势力的打击的了解并及时做好防御和抵抗工作。
做好安全防御,遏止间谍行为,是当代企业发展壮大的必经之举,希望企业界能越来越重视信息泄露防御,希望有更多更加优秀的专业文献来研究和阐述如何防御信息泄露,也希望国家政府能出台更具针对性的法律法规来防范和惩处窃密和泄密这一违法犯罪行为,以还商业竞争一片相对澄净的天空。
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
