的巴拿马的论文应该给每家公司的首席执行官、首席运营官、首席技术官和首席信息官敲响警钟。
是的,政府和大型机构涉嫌的渎职行为被曝光是件好事。然而,很明显,许多公司只是想当然地认为他们的机密信息将保持机密。这包括公司内部共享的数据,以及与可信的外部合作伙伴(如律师事务所、财务顾问和顾问)共享的信息。从即时消息到电子邮件,从文档到数据库,从密码到账单记录,我们都在讨论。
被黑客入侵的巴拿马律师事务所莫萨克•冯塞卡(Mossack Fonseca)的客户错误地认为,该事务所的文件得到了很好的保护。贵公司的律师事务所和其他合作伙伴对您的文件和知识产权保护情况如何?这是一个好问题,阴影会让问题变得更糟。更糟。
举个个人例子:我的一个咨询客户想让我帮助一个研究项目,这个项目有很多很多包含重要知识产权的参考文件,比如产品计划、发布日期、营销提案等等。
我们是如何分享数据的?和我一起工作的团队已经有了一个“影子IT”Google Drive对于这个项目。他们发现这比他们公司的官方文档共享平台更容易使用,SharePoint。所以,他们只是把谷歌驱动器与我和其他几个顾问分享。他们的IT部门或信息合规部门知道吗?我没问过,但我猜,“绝对没有。”
我如何与我的客户就项目进行沟通?电子邮件是常用的工具。然而,有时我们使用谷歌视频群聊用于视频聊天,以及——信不信由你——facebook Messenger。他们的首席信息安全官(CISO)不应该对此感到高兴,尽管我是一个完全正直、值得信赖的人。
为什么员工使用影子IT?这并不是因为他们有意伤害组织。最大的原因是方便:员工有工作要做,任何能最快完成工作的都是好的。毫无疑问,建立一个谷歌驱动器,Dropbox或微软OneDrive-这比设置SharePoint文件共享要容易得多,特别是当您需要包括组织之外的个人时。
在很多情况下,这会变得很草率。关于我自己的业务,我和我的注册会计师和律师的通信是通过电子邮件。当然,有时我们会用密码保护文件,但它们安全吗?他们是秘密吗?它们安全吗?不是真的。破解PDF文件的密码几乎总是小菜一碟。我的注册会计师将我2015年的税务文件以一种有密码保护的PDF格式发送过来,我在10秒内就能在不使用密码的情况下解锁。我甚至不是一个真正的黑客。
为易用性和安全性而构建的商务舱工具
影子IT的问题是真实存在的,特别是有很多免费的产品都运行得很好。It人员有责任确保与官方兼容的工具不仅是官方的,而且易于使用和配置。别搞错了:除了在一些高度安全、受管制的环境中,简单地进行一些培训课程,强调“信口开河会沉船”的观点是无法完成任务的。针对未获批准的申请的技术对策将在一定程度上发挥作用,但它们将引发愤怒和怨恨。当然,你可以阻止访问Dropbox或Snapchat在防火墙。也许你应该这么做。但这是最好的方法吗?那么所有这些移动设备呢?
首先要检查已经安装的协作和通信工具。它们必须是安全的——这是肯定的。它们必须是功能性的——这也是已知的。但是它们也必须易于使用、自定义和配置。我有一个客户,我们在那里使用Yammer -是的,我得到了一个官方登录到他们的Yammer系统。这让我抓狂,也让这家公司的员工抓狂。令人沮丧,不直观。如果有一天他们建立了一个影子IT解决方案,我不会感到惊讶。
第二种是考虑添加真正考虑安全性、功能性和易用性的新工具。例如,盒子是一个基于云的存储和文件共享系统,非常容易使用,设计上非常安全,具有优秀的管理信息访问的策略。遗憾的是,目前我的客户中没有人使用Box。
另一个工具是安全消息传递和聊天。有多安全Facebook Messenger吗?这对消费者来说很好,但对企业来说,你会信任它吗?我不会。短信吗?苹果的云信息和它的前身iChat?它们已经存在多年,是优秀的影子IT解决方案。它们不适合公司消息传递——没有日志记录,没有控制,如果您需要进行电子发现或被选中进行遵从性审计,那么这将是一个噩梦。
微软的叹息可能是最安全的广泛关注的协作平台,并且它具有大多数组织所需要的所有基于策略的安全性。但它使用起来很令人沮丧。
另一种方法是交响乐团,它的设计非常容易使用和安全。它在金融行业很受欢迎,因为它满足了他们的合规需求。我们在自己的公司里使用交响乐;唯一的缺点是它只能使用有限数量的浏览器客户机。在我的Mac电脑上,我不得不使用Symphony和Chrome,因为它还不支持Firefox。希望这种情况很快会改变。
另一个值得研究的协作平台是核糖。虽然它更专注于消费者市场和小企业,但它可以为工人和承包商提供一个安全的场所,让他们不用电子邮件或基于云的文件共享服务就能聚集在一起,同时将信息保存在一个安全的环境中。
正确的应用程序是必要的,但还不够
编写遵从性文档和策略很容易。在大多数组织中,员工很容易忽视它们,并随意地与不应该接收它们的人共享文档。当文件离开你的组织时,你就无法控制接下来会发生什么——正如巴拿马文件事件所显示的那样。
您需要做的是:找到好的安全协作工具。确保员工喜欢这些工具,并能完成他们的工作。强调只有通过使用这些工具才能在内部和外部共享通信和文档,这样您才能维护数据的所有权和控制权。
永远保持警惕。如果你和你的会计分享的财务数据,或者你和你的律师分享的专利申请被黑了,你一定不希望这些数据被公开。由你决定。你打算怎么办?