探索中国CIO人才现状 | 第四季调研报告
不要让员工行为成为企业的潜在安全危机
2015-08-04  来源:techtarget

你可能已经在IT领域工作了一段时间,也许是几年甚至是几十年。最终,你会发现如何才能保持整个企业环境稳定运行,比如,如何保持安全。

但有一件事我猜你还没有掌握:人的行为。

你也知道,典型的员工心态非常复杂,企业需要花费大量的时间和金钱来试图预测和掌控员工的行为。因为如此,我们在信息安全领域仍处于落后形势。

如果我们打算实现IT相关政策,正确执行这些政策可以减少我们的信息风险,因此我们需要更好地理解员工是如何工作和做决定的,这样可以帮助我们实现更好的员工安全意识提升。

想想看:之前赛门铁克的一项研究发现,大多数员工(56%)拥有他们所谓的“占有”心态,认为可以使用竞争对手的商业机密。68%的人说他们公司没有采取适当的措施来保护敏感信息,40%的人计划在将来新的职业角色中使用本公司信息。

另外,CyberArk IT经理和高层调查也发现,43%的受访者表示,如果明天被解雇会以适当的数据来换取新的工作机会——比如特权密码列表、客户数据库和研发计划。

整个行业显然有问题。如果内部泄露可以发生在国家安全局,它也可以发生在您的组织。虽然我还不足够聪明来列出所有可能影响到信息安全的行为类型,但是根据这么多年的工作经验,我知道下面三点是具有说服力的:

你不能假设员工永远能够做出正确的安全行为。即使有很高的安全意识,但是你永远不要认为员工总是在做正确的事情。 你的员工知道IT界没有人能够在网络上获得明确的信息,更不用说谁有权访问这些信息。 员工有对风险的感知,但与之更大的是他们违反政策的欲望。被抓到的风险很高,但他们也知道他们的胜算很大。

员工安全认知和培训必须是一个持续的过程,但你绝对不能依靠它来防止事故发生。为了安全起见,任何表面上的对员工行为的控制通常都要终止。

得到满足的渴望是一种强大的力量。许多人无法思考今天做出的选择所带来的长期后果。

这些现象对于IT和安全来说不是独特的,它们体现在董事会,体现在社会和企业的各个方面。但现实是,如果你忽略这些问题,你会继续与安全进行斗争。

你不必成为一个人类心理学专家,但是你需要情商。把这件事放在首位,把安全看做和技术一样重要,这样可以帮助你提升整体的IT和安全技能。