漫谈信息安全设计与治理之雇用终止与IT人员管理


习惯了阅读我们漫谈的朋友们,是不是掌握了廉哥每周固定时间更新的规律?对,我们的漫谈已经进入了“新常态”。如上期所言,哥纵身投入了如火如荼的云平台项目中,手头的事情也跟着多了起来。霸特,日本励志辣妈吉田穂波不是说过吗?“就因为‘没时间’才什么都能办到”。所以我也是尽量自己寻找Trade-off,挤时间出来和大家继续漫谈的。哥就是这么一个蛮拼的男子,估计也没sei了吧(此处该有掌声)!

好吧,我们暂时让那个云项目“飞一会儿”,大家回头再来聊人员的治理。按照前一次的“二象图”,接下来是雇用终止。

雇用终止

员工的雇用终止的那一刻,应确保其归还所有先前发放的组织资产,包括移动设备、访问卡、软件、文件、手册和存储介质等。特别需要注意到是:对于IT相关的软/硬件系统,应及时终止或删除对密钥、磁卡、数字证书等在系统端的逻辑访问权限。如果由于某种特殊原因而需要维持一个已离开的雇员、合同方或第三方帐户在企业现有系统中处于活动状态,则应在经过审批流程后,改变其密码和属性标识(如最简单的:加上前缀“To be deleted”)。

对于大型企业来说,有时候分支机构人员的离职,特别是外勤人员,一定要上报总部人力资源部门知晓。比如说一些信息化程度到位的企业,甚至会对员工离职时间精确到几点几分,一旦生效会全部系统迅速同步。这就会出现员工一旦超过这个时间点,莫说继续使用IT资源,就连走出企业所在大厦的大门都需要专人的陪同方可。这个方面看似不近人情,可是大家要知道制度就是制度,没有人情可言才是其令人生畏的地方啊。与此同时,企业还应给相关的其他人员(包括其他同事)发通知,并应建议他们不应再与该已离开的员工共享或交换企业和工作信息。

从动态的角度考虑,还有一种情况是:岗位调动。工作轮换或称轮岗对企业自身运营是有百利而无一弊的。当一名员工需被调到企业的其他部门或岗位时,其在原岗位上对信息系统和服务以及资产的各种安全访问权限应重新被评估或修改。对不适用于或无关新的工作岗位的权限,应及时、彻底的删除。特别是那些需要销毁的文档一定要用碎纸机而非直接仍进垃圾箱或手撕。当然,如果员工确实要在新岗位上继续保留或使用原岗位的涉密信息,则一定要经过信息所有人都批准。

上次我同学告诉我,他年初跳槽离开了原来单位,年中由于市场形式不好,他又回到了原单位。令他欣慰的是走起前的管理员账号/密码居然没变,他可以沿用离开前的。起初他以为是单位给他特意营造的“Home sweet home”的感觉,后来才知道那个账户压根儿就没有被系统管理员修改动过,更别提删除了。仔细想来他们的IT该有多懒啊。我问他这样的公司还值得回去吗?他只是对我呵呵两声后把话题转到了他们单位马上去三藩的outing上了。

企业外用户

员工在企业以外的场所,如果并非工作所需,不得将涉密资料随意带出;如确属工作所需,应在带出前向领导提出申请。在企业外面,员工应将含有涉密文件、移动介质和通讯设备随身携带,不得随意置于无人值守之处。若确要暂时离开,应记得锁定屏幕,以防止其他人们(甚至是家人或朋友)未授权访问信息或资源。若有可能,应将其用专用锁起来(有条件的话可放入保险柜)。这里跟大家分享一个真实的案例,我们公司有个顾问曾在某个周一,去找公司IT借用一台临时电脑,其理由是他出差把公司的笔记本锁在酒店的保险箱里,因赶飞机忘记了带回来。此事居然还得到了其领导的赞赏,夸他能遵守规则对待公司财物。

哥再给大家举个反面的“栗子”:我堂兄,虽经常接触招商引资项目,习惯把文件带回家审阅,但总忘在车里没带上楼。有一次,小区里招贼,他车里的文件和笔记本也被破窗而盗。他不得不慨叹这年头,就怕小偷要学文化啊。当然,插在他的车前窗ETC系统里的公司信用卡也没能幸免,其信用额度可有十万呢!

企业员工出差或在家里时常需要调用企业内部信息和资源来处理工作。在所使用的终端设备上应安装防火墙或防病毒程序,并保持杀毒和防木马程序的病毒库的及时更新。而且,在该终端设备上不得安装未授权或盗版软件,条件允许的话,可以引入Bit9之类的防恶意软件安装守护程序。与此同时,员工应注意并尽量保证所使用的有线或无线网络的安全性,以免网络信息被侦听和泄漏。另外,特别要注意到是:员工尽量不要在公共场所打/接重要电话。

还是跟大家讲一个真实的例子:同做一个项目的两个咨询公司,A司为了“刺探”到B司所正在“多线程处理”的另一个项目的细节,不惜派自己人和B司的项目组人员乘坐同班飞机,而且选坐在他旁边,来通过眼睛看,耳朵听等方式进行打探。是不是感觉有点像好莱坞大片啊?爱思考的朋友也行会追问,是如何如此精准实现的?这又要说到那个隐私泄露大户—微信了。比如B某次在微信里post过一张登机牌,不慎包含了其对应常用航空公司的客户号,有心的人藉此登录该航空公司网址,通过猜测其密码(比如其生日信息等),一旦登录进去就可以获知其值机信息啦。所以说:竞争是残酷的,而竞争手段更是丧心病狂的。

除了一般用户外,和IT软/硬件系统频繁打交道的是企业里的IT人员。因此在企业日常运营中,IT群体的安全操作与职责不容忽视。

一. 呼叫中心

呼叫中心的IT服务人员,在处理一般用户发来的求助和需求时应当注意:

1. 当接收到与企业安全相关的事故报告、服务和变更请求时,应及时进行记录和分类,必要时更新到配置管理系统,以便后期查询。

PS,事故、变更和配置管理等会在后面几期的漫谈中,有专门的篇幅和大家讨论的。这里仅做预告。

2. 如果无法解决或确实需要某种权限,则应及时提升给IT管理层或人力资源部门。

3. 帮助发现潜在的安全事件,如用户多次来电话所提到的某种IT服务的安全需求,可引起警觉并建议相关部门后期跟踪与处理。

但凡有call center经验的小伙伴都知道,helpdesk一般是非常忙的。所以服务人员在疲于面对冗长的电话排队时,光“蓝瘦,香菇”是不行的,留心做到上述三点并善于总结才能化繁为简。

二. 运维支持

总的说来,在很多企业管理者眼里运维支持是烧钱的部门,光景好的时候还能重视点,多投点;不好的时候,就只能处处削减,甚至会“腾笼换鸟”了。殊不知,这其实是非常危险的“自毁长城”的现象。而从运维和支持人员自身角度来说,日复一日和用户直接打交道,应该注重通过如下途径实现“保值”甚至体现自身价值才是。

1. 通过例行检查与操作,维护IT软/硬件系统的安全性和稳定性。

我一直和我同仁说,不可小觑机房以及设备的日常巡检。现在IT设备都非常智能了,通过面板上的状态灯或LED屏、并结合手册,就能迅速发现并定位系统的硬件问题;而软件方面的问题嘛,多查看各种监控系统吧,别让重金请来它们成了应对审计的“形象工程”哦。

2. 通过诊断和处理用户的IT需求/问题,来判断、处理和修正安全相关事故。

中医里有望闻问切,其实做运维的又何尝不是呢?望:用户raise一个问题,我们可以用远程工具或是亲临现场去观察问题的现象;闻:(古文是听的意思,不是嗅。少装B,中国人都知道!)倾听用户口述事发的始末,动脑筋找出“蛛丝马迹”;问:通过QA环节对用户问题进行抽丝剥茧的analysis;切:中医指“指摸脉象”,我们则是深入进行系统追踪,如查看日志等,并用称手的工具予以修复。

3. 向普通用户定期发送安全相关的提醒和警告邮件,这样不但能增强普通员工安全意识,还能提高其碰到安全事件的自愈和处理能力。实际上,积极的分享IT新知和支持经验,建立知识库,提供答疑式样的咨询都在某种程度上实现技术大众化,使得大家对所碰到的IT问题有了一定的common sense,用户在描述问题的时候也就更加清楚、准确了。

另外,常言道:常在河边走,哪有不失鞋的。在出现IT事故时,运维和支持人员及时运用邮件/电话/短信等方式告知公司全员,让大家感受到IT的“关怀”和运作,让其在真正碰到问题的时候有了一定的思想准备。此法同时也能树立IT的积极、主动和尽力的形象。说得学院派一点,这叫做:曝光效应;而说通俗点就是:混了个脸熟。

曾经在一次闲谈时听一位资深运维人士说过:“运维做得好的境界是:大家感觉不到我们的存在,就成功了。”且不说这个“感觉不到”是好还是坏,但至少提醒运维的小伙伴们的是:平时勤快一点、专业一点、主动一点,我相信“野百合”们也是能迎来春天的!

好了,今天就暂时聊的这里吧。正如哥在一开始拟定提纲时就规划好了写这部分,人员的治理必不可少,也不得不聊。虽然哥聊的可能都是大家平时在企业运维中的早已“深入毛孔的”知识,但是歌德老爷子不是说过吗?“光有知识是不够的,还应当运用;光有愿望是不够的,还应当行动。”

Have any Question or Comment?

发表评论