问:我们公司最近发生了一次安全事件,一名员工明知故犯,将敏感数据下载到个人USB记忆棒中。我建议公司开除这名员工,但管理层却决定放他一马。我如何向管理层说明,这一处理决定可能会对未来的安全政策执行造成极其严重的影响呢? 答:很遗憾,这个问题是当今许多公司的安全专业人士和主管面临的众多挑战之一。这一特殊问题往往层出不穷:违反USB安全政策的员工同时也深受公司器重,由于其具有的专业知识或丰富经验,其他人通常难以轻易取而代之。
下面是我以前寻求管理层的支持时曾经采用过的一些方法,以资借鉴。首先,你可以尝试向你的直接上级(CIO、CFO或安全总监)汇报,使其明白此类事件的当前后果和长期影响。在……
我们一直都在努力坚持原创.......请不要一声不吭,就悄悄拿走。
我原创,你原创,我们的内容世界才会更加精彩!
【所有原创内容版权均属TechTarget,欢迎大家转发分享。但未经授权,严禁任何媒体(平面媒体、网络媒体、自媒体等)以及微信公众号复制、转载、摘编或以其他方式进行使用。】
微信公众号
TechTarget
官方微博
TechTarget中国
问:我们公司最近发生了一次安全事件,一名员工明知故犯,将敏感数据下载到个人USB记忆棒中。我建议公司开除这名员工,但管理层却决定放他一马。我如何向管理层说明,这一处理决定可能会对未来的安全政策执行造成极其严重的影响呢?
答:很遗憾,这个问题是当今许多公司的安全专业人士和主管面临的众多挑战之一。这一特殊问题往往层出不穷:违反USB安全政策的员工同时也深受公司器重,由于其具有的专业知识或丰富经验,其他人通常难以轻易取而代之。
下面是我以前寻求管理层的支持时曾经采用过的一些方法,以资借鉴。首先,你可以尝试向你的直接上级(CIO、CFO或安全总监)汇报,使其明白此类事件的当前后果和长期影响。在汇报中,既要尽量避免使用太情绪化的词语(例如,你刚才使用的“极其严重”一词可能过于夸张),但又要明确指出,这一处理决定可能不符合公司的最佳利益。因为其他员工可能会认为,这种处理暗示了某些安全政策可以不执行。
其次,你可以建议管理层考虑在该员工的人力资源档案中装入一份文件,说明他或她曾经违反公司的安全政策(包括这一事件发生的日期、时间、证明人等),并受到某种警告(最好有书面记录)。
再次,你可以以此次安全事件为契机,开展内部宣传活动(例如通过广播电子邮件、海报等),提醒全体员工,数据保护对于每个人——员工、客户、供应商以及整个公司都非常重要,从而防止此类安全事件再次发生。
然而,在内部宣传活动中,注意不要引用任何诸如“处理直至开除”之类的处罚规则。由于公司最近发生的这一安全事件,更多对执行安全政策持怀疑态度的员工将会不相信这类消息。
最后,制定一份“完全备选方案(Cover Your Alternatives,CYA)”文件,其内容应包括该安全事件的总结文档、你与你的直接上级的对话、防止此类事件再次发生所采取的行动等。CYA文件记录了安全事件发生时公司所采取的行动以及相关的资料,在将来对此次安全事件进行分析或审查时,可以充分证明安全事件管理的有效性。
翻译
相关推荐
-
实用易上手的五大Android安全政策
对于正试图改善Android安全性的企业来说,他们也许会认为这是一项不可能完成的任务。在这个音频中,Phifer探讨了企业可部署及实施的五大Android安全政策,以帮助缓解最突出的Android威胁。
-
Scott Charney:微软的安全政策和集体防御
本视频中,微软可信赖计算部副总裁Scott Charney,将与我们一起讨论集体防御以及微软确保互联网上消费者的电脑安全的一些策略。
-
对卫星网络及内容的安全防护措施
多年来卫星网络一般不与外部世界相互连接,对卫星网络及内容实时入侵的安全防护相对容易,卫星网络因其独特性而获得了安全性,目前这一状况不再如此……
-
研究员称Adobe Flash安全策略的风险高
研究员指出,Adobe Flash的安全政策有漏洞,可能导致骇客操纵浏览器处理Flash档的方式,造成访客浏览使用者上传内容的网站时涉险。