商NTT WEST两家子公司宣布,公司的九百万条数据被盗,泄露时间长达十年。
更多的信息安全事件还在不断上演。据GoUpSec发布的《2022年中国企业数据安全现状调查报告》内容显示。就连最注重信息安全的金融、高精尖制造等行业的上百家大型企业,四分之一的企业承认发生过较大的信息安全事件。
对于很多企业来说,信息安全问题,决定不了企业的生,却可能会决定企业的死。守好「信息安全」这条生命线,企业应该如何做?有事倍功半的方法吗?
在马斯洛需求理论模型中,“安全需求”(safety need)位于倒数第二层。然而,随着数字经济时代的到来,传统的“安全”定义正在被新时代重写。
特别是「移动办公」已经成为各大企业的标配,信息安全矛盾更加突出。在移动办公时代,信息泄密,更容易发生在人和人交互的环节,像是聊天、传输文件、访问应用等等。企业商业机密、核心研发成果都可能面临泄密的风险。
IDC一份调查显示,60%的企业员工会将商业机密数据储存在其智能手机中。这就意味着,一旦被有心人截屏外发,企业核心数据或个人信息泄密,将给企业和用户带来巨大损失。卡巴斯基曾披露数据显示,2019年约46%的网络安全事件,是由粗心大意的员工引起的。
其实,在移动办公时代,保护好企业的信息安全、消除安全盲区,就是守护企业的核心竞争力。尤其现在处于经济低迷期,企业对安全问题一定要更加重视。
管理学中有个著名的Double E战略理论:在经济上行期,企业一般要主动explore,探索外部新的机会;但在经济低迷期,企业要更趋于内部exploit,着眼于利用内部的资源挖掘。
对内exploitation,非常重要的一点就是要「控制好风险」。换句话说,企业穿越低迷周期,不仅需要一把冲锋枪,更需要一件安全防弹衣,不犯错是第一要义。而越是拥有技术优势的企业,就像拥有高绝对收益的资产一样,一定要注意风险控制,否则,增长的盈利就都白干了。
在企业微信和哈佛商业评论合办的「2023实干企业峰会」上,作为一家拥有3000多项专利发明、知识产权的全球新能源行业领先的科技企业协鑫集团给出了它的新解法。
信息安全对于科技企业协鑫来说格外重要,协鑫在三个移动办公的典型场景:信息沟通、文件传输、应用访问,开展了一系列防护措施,保障了公司的信息安全。
在移动办公的浪潮下,日常业务沟通大部分均在线上,包括群聊、邮件、在线会议等。一旦有人转发、截屏发布到网络上或他人,将会给企业带来损失。
《2023年Q2数据资产泄露分析报告》显示,2023年第二季度,数据泄露相关情报多达5400多万条,有效的数据泄露事件共计2018起,是第一季度的两倍之多。其中,员工误将敏感信息外传等情形成为第二季度数据泄露的主要原因。
协鑫集团数字创新中心担任总经理陈锐分享道,要从办公软件上下功夫。在协鑫的企业微信上,不论是沟通、开会、共享文档,还是收发邮件,都有水印的设置。水印对于全员来说,有实时警示的作用,能够有效地避免商业信息的外泄。不仅能事前警示,截屏外发了,水印上有姓名也可以追溯追责。
但是,有时候密密麻麻的文字、数据,很容易被水印所遮挡。因此,为了不影响阅读和美观,协鑫还使用了企业微信的新功能「暗水印」。「暗水印」肉眼看不见,但是一旦有人截屏泄密,图片可以通过企业微信的后台解析,能够查到是谁、是哪个部门、在什么时间截屏,起到事后追溯的效果。
“对于涉及工作中任何事情,一定要通过企业微信来沟通,因为在企业微信上,信息沟通是有安全保护的。”陈锐说道。在他看来,几乎所有企业都有移动办公的需求,办公软件的沟通内容如工作群里的聊天记录、线上会议投屏的材料,不可避免会涉及到商业秘密。一旦被有心人截屏外发、或公布在网络,将给企业带来巨大损失。
大家可能会留意到,很多在网络上疯传的,常常都不是文档,而是图片。很多企业的管理者,最担心的就是,机密的聊天记录、文件内容被截图发到网络。但管理者也苦闷没有解决办法。
协鑫集团,通过办公软件,为企业信息安全增加一道安全阀。一个简单的“加上水印”的动作,不仅可以明确责任,有实时警示效果,有心之人截图总要掂量一下。因为带着自己的水印,即便是出于便利性截了屏,也不敢随意把图片传出去。
企业微信的暗水印,还能预防有心之人涂掉水印,帮助企业在事后追溯。针对公司高保密的部门,开启企业微信「截屏/录屏管理」功能,可以从源头杜绝恶意截屏和录屏的行为。这无疑是给企业在信息沟通的安全防护上,加了一针强心剂。
除了信息沟通外,对于一家企业而言,有大量的保密文件需要分门别类的管理。例如记录着财务预算的文档,最好是只有财务部门的同事可看;记录着薪酬结构的文档,最好只有HR部门的同事可看;记录着核心技术参数的文档,只有技术部门的同事可看......
但在日常的工作交流中,会有大量的文档资料和核心数据,在企业间、部门间、人员间实时进行流转,流转过程中的文件容易遭到窃取和泄露,可能会导致严重的后果。
那么如何有效管控文件在传输过程中的安全、防止意外泄密?这也是信息安全体系的重中之重。
在协同办公软件中,企业微信就可以做到给在线文档「设置权限」,确保无关的人无法查阅、修改文件。主要是两方面:
一是设置文档的「访问权限」。哪些是对外文档,外部人员和内部人员都能看?有关财务、有关工资的,开放给哪几个人?特殊文档,只给谁看?
二是设置文档的「操作权限」。哪些人只有“浏览”权限?哪些人不仅可以浏览,还拥有“编辑”权限?而没有获得权限的人,就需要通过权限申请才能访问文档。
没有权限的人,需要通过权限申请,才能访问文档。因此,不管是误发还是外传,不相干的人即便是收到了文档也打不开。确认好文件的所有权、浏览权、编辑权,文档才能进行传递。
在线文档、在线表格等在线的文件可以设权限,但是,在工作中还有一些文件是图片、pdf、视频格式,怎么设权限呢?企业微信的微盘,可以储存工作中的任何格式文件,和在线文档一样,同样可以设置文件的访问权限。
其实很多做管理的人会担心:公司人数挺多了,万一员工没有养成重要文件传微盘的习惯怎么办?
以领先科技企业协鑫集团为例,其在管控文件安全传输的中,采取了一些有效的措施。首先,协鑫集团在内部进行了文件安全等级、涉密程度的划分,不同等级,协鑫集团也设置了不同的安全措施。
其次,协鑫集团也对于文档和数据的传输进行了安全防控,和数据防泄密统一进行部署。协鑫集团启用了企业微信的「文件防泄漏」功能,可以实现将往来所有文件的操作记录、传输记录一一记录,并自动上传到企业后台的管理日志,便于备查和事后风险跟踪。
同时,协鑫集团内部有一些文档需要频繁发来发去,但只想给特定的人可见,用企业微信文档、微盘,可以针对企业内外部的不同人员,设置不同的权限,比如是否能查看、编辑、下载、复制等等。
企微与协鑫集团HR系统无缝集成,因此涉密文档的权限与组织架构、岗位实时挂钩。比如财务现金流的文件,只能财务部资金岗位的人员能看、转发,即使本部门其他人员查看也需要流程授权申请。此外,协鑫集团还对企业微信的在线文档和微盘,进行多种组合和特殊权限设置,区别企业内外不同类型人员,既安全又灵活。
如此一来,借助企业微信在线文档、微盘的权限设置,文件防泄漏等功能,相当于在“文件”最原始的阶段就进入“安全模式”,还能对文件传输路径进行管控。对于企业而而言,既不复杂,又非常高效。
随着数字化转型浪潮进入深水区,系统移动化是趋势。公司的系统里,承载了大量的业务数据,比如合同报价、竞标预算、员工薪资等,但在移动办公场景下,「应用访问」的安全很容易被忽略。
根据Ponemon Institute发布的《2020年数据隐私和安全报告》显示,超过75%的受访组织表示,在过去两年内经历过至少一次由于应用访问安全问题导致的数据泄露事件。这表明应用访问安全问题已经成为数据泄露的主要风险之一。
这个难题,协鑫集团也曾经遇到过。其是拥有四家上市公司的多元化集团,有集团统筹的应用系统,也有产业板块个性化的应用系统,集团关键的应用系统就多达100多套。为确保业务的及时与高效,业务部门需要随时随地访问相关应用系统,如果应用系统在接入互联网时遭到恶意破坏,那对业务的影响将不堪设想。
之前,协鑫集团通过系统的应用端口映射,以及VPN的方式来解决,不可避免会受到来自网络上各种威胁的攻击。为有效保护这些应用系统在互联网上的安全,协鑫集团需要不定期的通过系统补丁、更新病毒库以及相关安全设备来防范。这些工作,既增加运维成本又耗时复杂,还会因为疏漏产生隐患。
“而现在,协鑫集团将企业微信融合腾讯的零信任安全管理体系,一起构建了协鑫移动互联的安全管控平台。将我们100多个关键应用集成到企业微信中,这么一来,企业微信就成为我们移动办公的统一门户,唯一身份认证入口。通过这个认证,结合加密传输,我们可以随心所欲在企业微信中访问应用系统和审批流程。”陈锐分享到。
目前,仅仅是流程审批这一项,协鑫集团每天都有近一万以上的业务流程,是通过零信任机制在企业微信上进行审批。不仅安全有了保障,效率也有了明显的提升。
移动浪潮之下,企业在信息沟通、文件传输、应用访问等方面,面临着诸多挑战。作为企业,不能因噎废食,而是要学会借助数字化工具,从源头确保企业信息数据的安全。
在当今复杂的商业环境中,仅凭一两家企业或安全厂商的努力是远远不够的。未来,中国需要更多像企业微信这样的平台积极参与,与各个利益相关者共同努力,构建一个安全、互信的数字化世界。企业或许可以实现高效沟通、保障信息安全、确保业务连续性,从而更好地应对不断变化的数字时代!