在台灣常常聽到MIS(IT)人員,自嘲為打雜一族,有時候甚至在公司講話還得靠不少好運才能讓高層聽到。不過經營高層可別忽略了這群看起來老實,而且又很少發表意見的族群,因為他們可是掌握了許多通往公司機密的關鍵。DBA擁有資料庫的帳號與密碼,可以輕易取得顧客的資料。加密,重要欄位加密就算好的了,每個欄位都加密應該很少人會這樣設計。存取紀錄,只對君子有效,對小人或不怕死的人,只有事後歸責的用途。當然還有其他的方法可以防範,但是有多少公司採用,又有多少的效用,都是值得商榷的。

相信員工。是的,這是一個好方法,而且當初也做了背景調查,確認你的IT人員不是經濟犯、更不是殺人犯。但是,人在不同的時空下,往往會有不一樣的反應。員工在離職的時候可以分為兩種,一種是主動離職,一種是被動離職。對於被動離職的人,往往對公司會懷有程度不一的恨意,這樣的恨意也就很容易轉換為破壞的行為。根據Cyber-Ark的研究報告顯示,有高達88%的IT人員承認如果被解雇,將會順手帶走公司的機密資料。剩下的12 %表示會兩手空空的離開,who knows?

所以,對於員工的離職,尤其是被迫性的離職,公司應該有一套良好的機制,確保離職員工沒有辦法在離開前、甚至是離開後,取得或攜出公司的機密資料。一個作法是請被迫離職的員工在公司的監督下收拾家當後馬上離開,雖然不近人情(遣散費還是不可少,甚至可以優於法律規定,這樣就近人情些了),但是卻最有效。但是,如果沒有後續的處理程序,還是很有可能讓這些人可以在事後依舊存取到公司的機密資料。畢竟,實體的問題容易防,但是無形(網路)的問題不容易查覺,而現在幾乎所有資料都可以透過網路取得。公司能不能有效防範,問一個很簡單的問題,當員工A離職後,有哪些東西需要歸還,有哪些相關權限應該移除,又有哪些相關設定應該修改。如果公司沒辦法馬上回答,甚至明白條列下來,那公司可能就會有大麻煩了。

相關連結
arrow
arrow
    全站熱搜
    創作者介紹
    創作者 cyrilwang 的頭像
    cyrilwang

    就是資安

    cyrilwang 發表在 痞客邦 留言(0) 人氣()