调查表明,许多公司因心怀不满的前任员工大搞破坏而蒙受巨额损失。 离开公司的员工绝大部分是诚实正直、遵纪守法的企业公民。但是你永远不知道何时某个员工可能因与公司交恶而走人,随后回过头来企图闯入贵企业的系统。 在如今,由于企业数据可能驻留在众多地方:从云环境到员工带到办公场所的智能手机,保护公司资产、以免被前任员工破坏来得更加困难。 本文介绍保护企业数据、以免被前任员工破坏的几个步骤。 取消为所有设备配置的资源 据普华永道会计师事务所风险保证业务部的Joe DiVito声称,取消配置的资源应该是保护数据方面采取的第一步。 DiVito说:“对许多企业来说,取消配置的资源并非易事。它们在网络层面可能做得很好,但是应用程序层面可能门户大开。针对应用程序层访问的管理往往是分散的,归属应用程序拥有者或业务部门。” 他补充说,公司需要落实一套流程,将解雇通知告知所有的应用程序拥有者。DiVito提醒,取消配置的资源可能会很棘手,如果访问管理和相关的控制机制分散于中央IT部门和数据拥有者之间,尤为棘手。 他说:“设计和运作用户资源配置控制机制存在一定的控制风险。企业要正确核计赋予员工的访问权限。要确定谁拥有授权和日常访问该数据的权限,并确保需要修改或撤销访问权限时,各有关方均通知到位。要管理这种风险,解决办法往往不需要复杂的手段,只需要加强沟通就行。” 在Steelcase这家办公家具公司,一款自定义的微软.NET工具处理取消配置的资源这项任务。而IT部门与人力资源部门紧密协调。 据Steelcase公司CIO Bob Krestakos声称:“.NET工具使用尽可能多的标准API(应用编程接口)来联系各个系统,禁用或删除用户帐户。比如说,可以通过该应用软件,暂 停或删除电子邮件帐户,取消访问我们活动目录的权限,以及删除访问SharePoint的权限。同样以这种方式管理访问内部社交媒体和产品开发系统的权 限。”他补充说,除了消除产品开发部门的PTC产品资料库外,这款.NET工具还消除了SAP系统的ID。 他补充说,此外,该应用软件可以自动将电子邮件通知发送给用户帐户的管理员,创建审计跟踪记录。 Krestakos说:“.NET工具让管理员在大型IT环境下很容易关闭访问所有系统的权限。它让为好几个步骤实现了自动化。”他补充说,整个过程由人力资源部门操控。 Krestakos说:“有人离职或辞职时,特别是如果他们身处像企业战略或产品开发这样的数据敏感部门,我们可能会在他们离开之前就启动取消配置的资源这个过程。在其他情况下,我们让所在部门的经理知道情况,我们保留帐户,直到经理说可以关闭这些帐户。” 使用自动化工具 IDC公司的分析师Sally Hudson说:“员工不管出于什么原因离开公司后,这一信息应该立即自动由人力资源部门转告IT部门,取消该员工访问企业内部所有帐户的权限。目前这方面有许多成熟的用户资源配置软件。” 分析师们表示,此外,众多现成的应用软件有助于确保员工、尤其是高层员工离职后,无法访问企业系统。这些软件包括IBM、甲骨文、Quest软件公 司(现隶属戴尔)和冠群的软件,还包括Cyber-Ark和Xceedium等专业开发商的软件,它们提供的特权身份管理(PIM)解决方案广泛应用于 《财富》2000强企业。 Hudson说:“现在还有制约与平衡手段:特权身份管理软件可以确保被授予很大权限的前任员工(包括企业高管和系统管理员)无法利用之前很高的访问权限和帐户特权级别,在公司里面大搞破坏或胡作非为。” 一些人建议采取全面的方法来取消配置的资源。据Frost and Sullivan公司的分析师Michael Suby声称,要是不走全面的方法这条路,身份和访问管理流程可能毫无成效。 他说:“数据的位置变得非常分散,很难保持监管。你还需要对数据进行分段,这项工作是数据治理的一个环节。要是我所在企业有大量的员工信息,比如电 话号码、工资和人事记录,我就要确保,这些信息单独存储在另一个系统中。而商业计划和企业并购等信息封锁起来,一般人访问不到。针对这些信息的访问需要加 以管理。如果你事后再进行管理,就好比让谷仓大门敞开着。” |
