伴随互联网技术的发展,云计算和存储在企业的大量运用,企业和客户的信息安全更是面临前所未有的巨大挑战。
近年来,泄密事件一再发生并越演越烈。2013年度斯诺登引爆的“棱镜门”,支付宝转账信息泄露,中国人寿80万份保单信息泄露,安卓手机软件盗取用户信息等。2014年以来,随着互联网金融趋势的发展,互联网交易金额、数量及规模快速扩张,但其安全性和风险管控也引起公众更多的关注。2014年1月,韩国发生金融行业最大规模信用卡个人信息泄密事件,涉及约2000万用户,共1亿多条客户信息被泄露,多名高管因此事引咎辞职;3月,携程被爆泄露大量用户银行卡信息;7月,欧洲中央银行遭到匿名黑客,窃取了该行网站上1.5亿注册者的电子邮件和联络人的细节信息;9月,美国家得宝公司支付系统遭到网络攻击, 将近有5600万张银行卡的信息被盗;10月,摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露等等。
为了更好地保护企业的信息安全,中国网络巨头阿里巴巴早已低调成立了安全部,其神秘的安全部被内部人誉为“神盾局”。“神盾局”源于2014年的美剧《神盾局特工》,其本质就是一个吸纳了各种神秘特工的无国界正义组织。除了追查世界各地的恐怖组织外,还兼管全球的 “的电子邮件和联络人的细节信息;9月,美国家得宝公司支付系统遭到网络攻击, 将近有5600万张银行卡的信息被盗;10月,摩根大通银行承认7600万家庭和700万小企业的相关信息被泄露等等。
为了更好地保护企业的信息安全,中国网络巨头阿里巴巴早已低调成立了安全部,其神秘的安全部被内部人誉为“神盾局”。大小闲事”,通过全球最先进的技术手段解决各类犯罪问题。而阿里巴巴的“神盾局”的统筹管理范围更是涵盖了知识产权、账户安全、交易安全、保护隐私防止信息泄露、信息安全各个方面。据闻在“神盾局” "的技术人员中还有一支著名的反黑客团队,当中有许多知名的黑客,并组成了专案团队、情报团队、认证团队、大数据建模团队等,360度全方位进行信息安全保护。
现在很多企业都说要拥抱互联网,要学习互联网金融,并不断通过创新迎接互联网带来的更大商机,但是企业真的做好准备了吗?攘外必先安内,要应对互联网的信息泄露挑战,企业必须先修内功。
说了这么多,那么现在问题来了。现在有多少企业内部有设置安全部,或信息安全保护团队呢?企业的员工对于企业的信息资产是否有安全保护意识?甚至员工知道什么是企业的哪些资料需按密级分为绝密、机密、秘密等不同等级吗?公司对于信息资产的保护是否有相应的管理制度和规范?员工是否知道如何保护公司的信息资产吗?
有些员工会说:“我的工作只是普通的文员工作,不涉及公司机密”;“我就是个话务员,主要帮客户核对一下个人信息。这个没有风险吧?”其实,文员工作接触的都是公司的内部资料,从一个合同内容到公司的政策、规章制度,这里面都涵盖着公司的重要信息。而对于话务员,你在操作系统里面所看的客户信息:个人资料、会员卡号、联系电话等等,更是重要的公司机密信息。如果这些资料泄露出去,那就会发生如文章开头所说的各类泄露事件,引起重大的企业危机。
那如何做好企业的信息安全防护工作?笔者认为企业应该从两个基础层面入手:
一、企业层面
在企业层面,企业高层领导要信息安全管理的观念,并至上而下建立企业的信息管理策略、管理制度、规范要求,评价机制等。并有专门的部门统筹这部分工作,同时定期进行自检和抽检。
二、员工层面
1、首先对于新入职的员工一定要进行信息安全和保密制度的宣导和相关培训,让其对信息安全有一个比较明确的认知。如果员工连什么是企业的秘密,什么是信息资产都不知道,你如何要求员工做好保密工作?
2、从员工入职的保密协议签订开始,至业务信息保密要求、档案管理保密要求、计算机使用管理、网络安全管理、生产环境安全建设等各方面制定相应的管理制度,并健全事前预防、事中控制、事后评价的评估的安全机制,不断优化企业的信息安全管理制度。
作者为资深银行咨询师;