這是一個以1%、2%決勝負的商業時代,一個信息就可以左右企業的成敗。這個信息在自己手裡是王牌,在對手手裡是炸彈。如此重要的信息,可能在老闆的大腦里、公司電腦里、一個列印稿的背面,甚至在一個垃圾筐里。隨時都有泄漏的可能,泄漏的結果輕則使公司蒙受損失,重則毀滅公司。你要怎麼防備?
讓信息安全「不就是安裝殺毒軟體,在電腦上設設密碼嗎?」當你這樣想,你就和全世界95%的人一樣,都錯估、低估了信息對公司的致命影響;好在全世界還有5%的人,恐懼、震懾、急著應變於信息對商業世界爆炸性的影響力,他們是誰———諾基亞、微軟,還有可口可樂……
當你讀這篇文章的時候,全世界又有2個企業因為信息安全問題倒閉,有11個企業因為信息安全問題造成大概800多萬的直接經濟損失。本文通過對100個經理人的調查總結30個致命細節,讓您快速成為信息安全專家。
1、印表機———10秒延遲帶來信息漏洞。即使是雷射印表機,也有10秒以上的延遲,如果你不在第9秒守在印表機的旁邊,第一個看到文件的人可能就不是你了。大部分的現代化公司都使用公用的印表機,並且將印表機、複印機等器材放在一個相對獨立的空間裡。於是,部門之間的機密文件就可以從設備室開始,在其他部門傳播,當部門之間沒有秘密,公司也就沒有秘密了。
2、列印紙背面———好習慣換取的大損失。節約用紙是很多公司的好習慣,員工往往會以使用背面列印紙為榮。其實,將擁有這種習慣公司的「廢紙」收集在一起,你會發現列印、複印造成的廢紙所包含公司機密竟然如此全面,連執行副總都會覺得汗顏,因為廢紙記載了公司里比他的工作日記都全面的內容。
3、電腦易手———新員工真正的入職導師。我們相信,所有的職業經理人都有過這樣的經歷:如果自己新到一家公司工作,在自己前任的電腦里漫遊是了解新公司最好的渠道。在一種近似「窺探」的狀態下,公司里曾經發生過的事情 「盡收眼底」,從公司以往的客戶記錄、獎懲制度,甚至你還有幸閱讀前任的辭呈。如果是其他部門的電腦,自然也是另有一番樂趣。
4、共享———做好文件。區域網中的共享是獲得公司內部機密最後的通道。有的公司為了杜絕內部網絡泄密,規定所有人在共享以後一定要馬上取消。實際上越是這樣,企業通過共享泄露機密的風險越大。因為當人們這樣做的時候,會無所顧忌地利用共享方式傳播信息,人們習慣的方式是在開放式辦公間的這邊對著另一邊的同事喊:「我放在共享里了,你來拿吧———」沒錯,會有人去拿的,卻往往不只是你期望的人。
5、指數對比———聰明反被聰明誤。在傳統的生產型企業之間,經常要推測競爭對手的銷售數量、生產數量。於是,人們為了隱藏自己的實際數量,而引入了統計學裡的指數,通過對實際數量的加權,保護自己的機密信息。唯一讓人遺憾的是,通常採取的簡單基期加權,如果被對方了解到幾年內任何一個月的真實數量,所有的真實數量就一覽無餘地出現在競爭對手的辦公桌上了。
6、培訓———信息保衛戰從此被動。新員工進入公司,大部分的企業會對新員工坦誠相見。從培訓的第一天開始,新員工以 「更快融入團隊」的名義,接觸公司除財務以外所有的作業部門,從公司戰略到正在採取的戰術方法,從公司的核心客戶到關鍵技術。但事實上,總有超過1/5的員工會在入職三個月以後離開公司。同時,他們中的大部分沒有離開現在從事的行業,或許正在向你的競爭對手眉飛色舞地描述你公司的一草一木。
7、傳真機———你總是在半小時後才拿到發給你的傳真。總有傳真是「沒有人領取」的,每周一定有人收不到重要的傳真;人們總是「驚奇地」發現,自己傳真紙的最後一頁是別人的開頭,而你的開頭卻怎麼也找不到了。
8、公用設備———不等於公用信息。在小型公司或者一個獨立的部門裡,人們經常公用U盤、軟盤或手提電腦。如果有機會把U盤借給公司的新會計用,也就有可能在對方歸還的時候輕易獲得本月的公司損益表。
9、攝像頭———揮手之間斷送的競標機會。總部在上海的一家國內大型廣告公司,在2016年3月出現的那一次信息泄露,導致競標前一天,廣告創意被競爭對手竊取,原因竟然是主創人員的OICQ上安裝了視頻,揮手之間,斷送的或許並不僅僅是一次合作的機會。
10、產品痕跡——靠「痕跡」了解你的未來。在市場調查領域,分析產品痕跡來推斷競爭對手營銷效果和營銷策略是通用的方法。產品的運輸、倉儲、廢棄的包裝,都可以在競爭對手購買的調研報告中出現,因為「痕跡分析」已經是商業情報收集的常規手段。
11、壓縮軟體——對信息安全威脅最大的軟體。ZIP、RAR是威脅企業信息安全最大的軟體。3寸軟盤的存儲空間是1.4M,壓縮軟體可以讓大型的WORD文件輕鬆存入一張軟盤,把各種資料輕鬆帶出公司。
12、光碟刻錄——資料在備份過程中流失。如果想要拿走公司的資料,最好的辦法是申請光碟備份,把文件做成特定的格式,交給網絡管理員備份,然後聲稱不能正常打開,要求重新備份,大多情況下,留在光碟機里的「廢盤」就可以在下班後大大方方帶出公司。
13、郵箱——信息竊取的中轉站。利用電子郵件轉移竊取的公司資料占所有信息竊取的八成以上。很多企業不裝軟碟機、光碟機、USB接口,卻沒有辦法避免員工通過電子郵件竊取信息,相比之下,以上方法顯得有些幼稚、可笑。
14、隱藏分區——長期竊取公司資料必備手法。長期在公司內搜集資料,用來出售或保留,總是件危險的事情。自己的電腦總是不免被別人使用,發現電腦里有不該有的東西怎麼行。於是隱藏在硬碟分區就成了最佳選擇,本來有C、D、E三個虛擬分區,可以把E隱藏起來,只有自己可以訪問。當然,如果遇到行家,合計一下所有磁碟的總空間,可就露餡了。
15、私人電腦——大量竊取資料常用手段。壓縮軟體的作用畢竟是有限的,如果把自己的筆記本電腦拿到單位來,連上區域網,只要半小時,就是有1個G的文件也可以輕鬆帶走。
16、會議記錄——被忽視的公司機密。秘書往往把會議記錄看得很平常,他們不知道一次高層的會議記錄對於競爭對手意味著什麼,公司里經常可以看見有人把會議記錄當成廢紙丟來丟去,任由公司最新的戰略信息在企業的任何角落出現。
17、未被採納的策劃案——放棄也是一種選擇。策劃人員知道被採納的策劃是公司機密,卻往往不知道被放棄的策劃也是公司機密。有時還會對客戶或媒體談起,而競爭對手可以輕鬆判斷:你沒有做這些,就一定選擇做了那些!
18、客戶——你的機密只是盟友的談資。經常可以在網絡上看到著名諮詢公司的客戶提案,這些精心製作的PPT,凝聚了諮詢公司團隊的汗水和無數個不眠之夜,在一些信用較差的客戶手裡可能只是一些隨意傳播的談資。
19、招聘活動——你的公司竟然在招聘總監?在招聘過程中,成熟的企業不會把用人的單位登在一張廣告里,因為那無異於告訴你的競爭對手:剛剛發生過人事震盪,人力匱乏。
20、招標前兩分鐘——最後的底價總是在最後「出爐」。如果投標的底價內部公開越早,出現泄露的風險越大,在招標開始前兩分鐘,面對關掉手機的參會者,可以公布底價了!
21、解聘後半小時——不要給他最後的機會。如果被解僱的員工是今天才得到這個消息,那麼,不要讓他再回到他的電腦旁。半個小時的時間,剛好可以讓他收拾自己的用品,和老同事做簡短的告別,天下沒有不散的筵席,半小時足夠了,為了離職員工的清白,更為了信息安全。
22、入職後一星期——新人在第一個星期里收集的資料是平時的5倍。只有在這一個星期里,他是隨時準備離開的,他時刻處在瘋狂的拷貝和傳送狀態,提防你的新員工,無論你多麼欣賞他。
23、合作後半個月———競爭對手竊取情報的慣用手法是:假冒客戶。在初次合作的半個月里,你對信息安全的謹慎只能表明企業做事的嚴謹,可以贏得大部分客戶的諒解和尊敬。除非,他是你的競爭對手。
24、離職後30天——危險來自公司以外。一般情況下,一個為企業服務半年以上的員工,離職後30日之內會和公司現有員工保持頻繁的聯繫,並且對公司的資料和狀況表現出極度的熱情。如果是被限時離開,那麼,在離職30天內通過老同事竊取公司信息的可能性就更大。
25、明確對外提案原則——能不留東西的就不給列印稿,能不給電子檔的就儘量給列印稿,能用電子書就不用通用格式。
26、保密協議———無論作用大小,和員工簽定清晰的保密協議還是必要的。無規矩不成方圓,明確什麼是對的,人們才可以杜絕錯的。保密協議的內容越詳細越好,如果對方心胸坦白,自然會欣然同意。
27、責任分解———明確每個人對相關信息的安全責任。所有的機密文件如果出現泄露,可以根據規定找到責任人,追究是次要的,相互監督和防範才是責任分解的最終目的。
28、設立信息級別———對公司的機密文件進行級別劃分。比如合同、客戶交往、股東情況列為一級,確定機密傳播的範圍,讓所有人了解信息的傳播界限,避免因為對信息的不了解而導致的信息安全事故。
29、異地保存———別把雞蛋放在同一個籃子裡。所有備份資料儘量做到異地保存,避免因為重大事故(如火災、地震、戰爭等)對企業信息帶來致命的打擊。
30、認為自己的企業在信息安全上無懈可擊。
也許你會認為,「9·11」這種事情離自己太過遙遠,發生的幾率為0.1%。可是在「9·11」之前,誰又能想到世界標誌性建築世貿大廈竟然在瞬間被毀滅。「9·11」使美國許多企業遭受重創,同樣,紐約大停電也給美國經濟造成300億美元的損失。
·從《商業周刊》看保護信息安全
美國時間2003年8月14日下午四點,北美大部分地區突然停電。誰也沒有料到這一停就是20多個小時,而8月15日恰好是麥格勞希爾公司旗下《商業周刊》的出版日———麥格勞希爾公司全球首席信息官MOSTAFAMEHRABANI講述了他們紐約大停電時的親身經歷。
「當時情況非常緊急,許多人不斷詢問公司的業務情況,而且第二天《商業周刊》能否正常出版更是得到人們的普遍關注。而實際上,在停電瞬間,我們已經把出版業務全部轉移到新澤西州,因為在那我們有一套備用設備。」
「我們的電力系統很穩定,備用發電機可以在沒有電的情況下持續工作好幾天,所以我們的出版工作沒有受到任何影響。第二天,《商業周刊》如期出版。」麥格勞希爾公司作為信息服務提供商,保護信息安全成為頭等重要之事。
對於中小企業來說,出於成本考慮建立一個數據備份中心並不是最恰當的解決方案,但在離自己電腦一段距離的地方做一個數據備份,花費的成本幾乎為零,而許多企業尚沒有這種意識,直到一場意外的雷擊摧毀了公司CEO的電腦為止。
·那些即將離職的員工是極度危險的
因為不論出於什麼原因,他們都希望能夠為自己以後的工作獲取必要的資源。「實際上,離職員工通過各種手段從原公司拿走一些資料已經成為一種習慣,當然這些資料只是方便以後工作,而不是直接用來出售。」一位離職員工很坦然地說。「我們的雇員可以在下班之後申請加班兩小時,兩小時後他們會去刷門卡,讓電腦系統顯示此人已經離開。但是實際上,員工卻可以通過通向衛生間的那道不鎖的門出入公司,而不留下在公司超時逗留的證據。於是,他們會以最快的速度從同事的電腦上找到自己所需要的資料,就可以大大方方的帶走了。」這位離職員工毫不避諱地講到。
有些員工為了在應聘時博得新僱主的喜愛,總是很積極地回答僱主的每一個問題,而其中有許多問題都是新僱主為了獲取競爭對手的資料故意設置的。
·微軟公司查看資料會被嚴格記錄
微軟、西門子等公司則是從硬體設備上防止員工拷貝公司資料,因為根據級別區分,他們大部分的員工電腦是不能安裝軟碟機和移動硬碟接口的。這在跨國公司內是非常普遍的做法。另外,IBM公司規定每個員工只有三次查閱同一文檔的機會,並且這三次查看的時間、地點、原因都會被嚴格記錄下來。