内部调查是安全程序的重要组成部分。当员工被指控违反公司规定时,这是一个严重的问题。所谓的“内部威胁”造成的破坏不亚于外面的小偷。这些威胁有许多不同的形式,包括:
*会计欺诈
*直接窃取有形资产
*未经授权访问、操纵数据或出售数据
*威胁、性骚扰或其他不适当的行为或交流形式
*等等。
内部调查的目的是揭露组织内部所谓的不当行为的真相。但一项良好的内部调查必须做到这一点,不能损害与无辜员工的关系,也不能不必要地损害任何人的声誉。这需要良好的计划、一致的执行、分析技巧、敏感性和对相关法律的牢固掌握。
调查的典型要素包括收集和审查书面或记录的证据,与嫌疑人和证人面谈,以及计算机和网络取证。这可能还需要与管理人员、人力资源和法律人员进行协商,可能还需要与执法部门进行协商。确切的玩家和行动将只根据手头的特定情况所决定。
以下是一篇内部调查的基础入门文章,由专家建议汇编而成CSOonline文章。你会发现贯穿全文的链接指向更详细的信息。
问:在内部调查开始时应采取哪些规划步骤?
答:约翰·汤普森律师指出,调查通常是由个人而不是安全人员领导的。(事实上,汤普森已经写了一系列的书,为不同的支持者提供了具体的方向:审计,,设施/建筑管理,人力资源等等。)在计划和执行内部调查时,他提供了以下基本的待办事项清单。
有明确的政策。一项政策在几个方面是有帮助的。它应该规定你们组织内部调查的适当人员和程序。一份清晰的书面政策将帮助你取得成功和正确的结果,避免常见的错误,确保保存适当的文件(见下一点),让你的公司免于法律纠纷。
记录你的工作。这包括记录您遵守自己的策略。例如,在调查对象对你的公司提起诉讼的情况下,你需要向法官证明你自始至终的行为是负责任的和合法的。
另一个关键文件是确认备忘录。你可能认为这是必要的,通常情况下,当口头投诉或指控。一份确认备忘录澄清了包括申诉人在内的所有有关各方的调查范围。
减少证人恐吓。“参与调查的某些证人可能会对被指控的违法者感到害怕,甚至是仅仅因为被指控的违法者在工作场所。更糟糕的是,被指控的作恶者(甚至是申诉人)可能会恐吓、骚扰或报复证人,试图影响调查结果,”汤普森写道。保密调查是第一步。在极端情况下,可能需要通过带薪停职的方式将嫌疑人带离工作场所。
组成面试小组,分工工作。除非记录在案,否则对嫌疑人进行一对一的审问会给原告创造一个机会来质疑面试官的笔记或回忆。在团队面试中,一个人可能会问问题,而另一个人会做笔记和记录观察结果。
建立调查的时间框架。快速和适当的行动可以帮助避免未来的法律挑战,也可以减少对士气的负面影响。
收集文件和证据。汤普森列出了需要考虑获取的东西,包括:人事档案、电话记录、报销记录、电脑化人事信息、约会日历、考勤卡、大楼进出记录、电脑/文字处理磁盘和硬盘、电子邮件记录和语音邮件记录。
考虑特殊调查技术的需要。这些几乎都是调查技巧,具有很高的法律风险,不应该在没有法律顾问的情况下讨论或实施。事实上,许多这些技术在使用之前都需要高层的批准,包括以下内容:内部审计、物理调查(指纹、笔迹、声音分析)、物理监视、测谎仪、组织或私人财产的搜索,以及电子监控或监视。
对于每次面试,你应该准备开场白和结束语以及一系列问题。这并不排除在面试过程中问后续问题。然而,这将提高你与受访者沟通的准确性,并提高你能够获得的信息的质量。在面试结束后,这些问题列表应该与你的案例文件一起保留,以及面试本身的笔记或录音。
书面声明。“书面陈述减少了受访者对调查人员的采访回忆提出异议或改变他们的故事的机会。陈述也是一种极具说服力的证据。”汤普森写道。
在调查的每个阶段都应该通知谁?
一般的规则是:尽可能少的人。人力资源是一个很有可能的候选人,应该对所需的保密级别有很好的理解。在那之后,就要做出判断了。因素包括正在调查的事件的严重程度、任何嫌疑人在组织中的位置以及收集证据所需的任务。
在调查过程中,你可能需要采访其他员工。根据事件的性质,这并不一定要求你向那些受访者透露哪些人正在接受调查。但是,如果他们没有接受调查,你可以选择让他们知道,这样可以帮助他们放松和提供更多的信息。
所有的文档都需要用严格的协议来控制访问。如果您正在使用案例管理软件,请确保对数据的访问受到严格控制,就像纸质文档一样。
可能需要哪些部门或技能?
答案取决于涉嫌不当行为的性质。必要的技能包括指挥能力
*面对面的访谈
*法务会计学
*电子邮件发现和审查
*计算机和网络取证
*手机通话记录
*视频监控分析
*赊购卡日志
*存货审计
或者更多。
这意味着调查小组可包括以下方面的代表:
*物理安全
* IT或信息安全
*金融
*审计
*设施
*人力资源
*法律
*嫌疑人的部门管理
*外部调查或取证公司
每个案例的细节必须决定选择。每次调查都应该包括必要的人员,而不是其他人。
看到调查:合并之前了解更多关于这个问题的信息。
侦测和调查财务欺诈又如何呢?
显然,涉嫌的金融犯罪需要在欺诈方面有专业知识的人参与。
软件可以帮助检测欺诈。具有特定意图的包通常在每个事务中运行100多个测试,查找常见问题,如与员工地址相同的供应商地址、重复的发票号码以及供应商标识字段中的多次更改。这种扫描可以每天运行,也可以在事务处理期间内进行,以防止欺诈交易,也可以在历史数据上运行,以帮助进行欺诈调查。
对员工进行识别欺诈的培训也同样重要。
查看更多关于欺诈检测的专家建议来自安全专业人士在这里与认证欺诈审查员协会前负责人的问答.
设立员工热线,允许匿名指控,这通常值得吗?
一个2006年员工热线电话调查发现65%的电话提供了需要调查的信息,大约一半(46%)的后续调查导致了某种形式的纠正行动。
哪些工具可以帮助计算机方面的证据收集?
有许多不同类型的软件可以提供帮助。
数字取证工具旨在帮助安全人员、执法人员和法律调查人员识别、收集、保存和检查与不适当和非法活动有关的计算机硬盘上的数据,如网络犯罪、电子邮件和互联网滥用、欺诈、财务管理不善、未经授权披露公司信息,知识产权盗窃等等。这些工具也越来越多地应用于与民事诉讼和法规遵从相关的电子发现工作。
现成的企业取证软件包包括:
*指导软件的装箱
* AccessData的取证工具包
*尼泊金公司P2
*技术路径的ProDiscover技术
其他包括New Technologies的工具套件,X-Ways Software Technology的WinHex实用程序,StepaNet Communications的DataLifte和ASR Data的Smart实用程序。在开源方面有Sleuth Kit和e - defence的Helix。
信息安全架构师、《网络安全:完整参考》(Network security: The Complete Reference)一书的作者Mark Rhodes-Ousley表示,除了针对硬盘内容的取证工具,还有两种其他类型的工具经常与取证(或电子发现)工作结合使用。他说,例如,有一些“调查工具”可以报告预配置阈值的异常情况,包括入侵检测工具、电子邮件和日志分析器、Web代理报告器和网络流量分析器。此外,“滑动窗口”系统可以随着时间的推移观察系统的行为,包括来自NetWitness、Niksun和Sandstorm Enterprises的网络监控工具。
当公司内部有人被认为向外部泄露专有信息时,其他工具可以派上用场。
所谓的数据丢失预防(DLP)软件可以试图阻止或记录这样的数据泄露。在过去几年中,大多数DLP供应商都被大型安全套件供应商收购:赛门铁克收购了Vontu。CA Orchestria买的。WebSense收购了港务局。EMC Tablus买的。等等。Verdasys和Code Green Networks仍然是独立DLP公司的代表。(找到关于如何选择和使用DLP软件的建议.)
根据所讨论的具体情况,还有其他工具和技术可以补充或替代这些现成的包。公司调查经理布兰登·格雷格推荐几种识别信息泄露来源的免费方法,可能是有意的,也可能是意外的:
Monitter.com允许您根据关键字和位置定制Twitter搜索,并将搜索结果保存为RSS源,以便立即通过电子邮件或短信发送给您。慢慢开始搜索你的公司名称或新产品,监控twitter上的威胁、不满的员工和内部泄密。
Limewire是一个流行的点对点文件共享程序;不幸的是,在快速安装该程序期间,大多数用户忽略了细节,并批准该程序共享他们的“我的文档”文件夹的全部内容。在你的电脑上安装这个程序——确保禁用所有文件共享——并定期搜索你的公司名称。元数据或标题中带有“Acme”的文档将被标记,您可以看到用户的IP地址并下载该文件。
Addictomatic.com提供了一种快速简便的方法,可以在众多网站中搜索您的公司或关键字,这些网站包括新闻、博客、YouTube,甚至流行的照片分享网站flickr。无数未经批准的员工视频和照片很快就会被发现。
谷歌谷歌的专有网站和大量工具使其在榜单上分列第四和第五名。使用基本和高级搜索特性的组合可以大大缩小返回结果的数量,并为您提供更好的数据。与其搜索Acme Company,不如在引号中使用“Acme Company”,或者用“Acme Company”“Confidential Handling”等更详细的信息缩小搜索结果,以便在元数据或标题中找到任何带有“Confidential Handling”的泄漏公司文档。检查谷歌高级搜索或搜索“谷歌黑客名单”以获得更多的技巧,如找到你的公司的IP监控摄像头和密码名单。
谷歌警报。一旦你缩小了搜索范围并进行了测试,使用谷歌Alerts (www.google.com/alerts)让谷歌为你工作。在本例中,我在谷歌Alerts中设置了两个搜索。
第一个是简单的搜索,专门搜索Myspace用户关于ACME的帖子:
“Acme公司”网站:profile.myspace.com
第二个更复杂的搜索是在免费的文件共享网站上寻找任何Acme文件: