燕麦云何洋开讲 | 信息安全,老板需要知道这三件事
燕麦云   2017-04-14

常能听到这样的玩笑:老板小学毕业,但请了许多北大清华毕业的高材生来给他办事。之所以说它是玩笑,是因为大多数商场老手绝不会“只动嘴不动手”,做“甩手掌柜”。在中国过去几十年改革开放中白手起家、吃到红利的,多是些敢打敢拼,在关键问题上亲力亲为的“实干派”企业家。

从现在到未来几十年间,红利窗口开始从“政策”转向“科技”,从政府到企业,信息技术已经渗透到管理的方方面面,迅速打破管理视差、提升组织运营效率。曾经,信息化还处于企业管理边缘,而如今,一把手IT能力的提升,已经被提上了老板们的议事日程。

最近,我接到一个朋友的求救电话。

这位朋友在珠三角经营着一家小有名气的厨房器具工厂。上个月他公司的IT网管与上级发生了一些矛盾,于是这位网管在没有任何征兆的情况下,采取了极端做法——把存放了6年的公司核心文件(包括专利厨具设计源文件、客户资料、以及财务数据)的NAS设备格式化了!随后网管小哥“人间蒸发”!

我的朋友联系了NAS厂商恢复数据无果,于是不得不紧急向我求救。他运气还不错,网管只对硬盘进行了快速格式化,在我们团队的帮助下,大部分关键数据都被找了回来。

这次事故虽然没造成巨大损失,但其恶劣程度却让人“细思极恐”,也让我这个多年做企业服务的人深思。

事后与朋友复盘,他作为企业最高管理者,一些思路很有代表性:在他的优先级中,跑客户、抓生产才是关键,因为自己不懂技术、也不想搞懂,所以才把数据都交给IT网管处理。但他做梦也没想到,一个不起眼的存储,竟能带来关键性威胁

我观察到,许多老板的管理理念和优先级排序,已经明显跟不上这个信息化时代了。随着环境和商业生态的变化,如果不提前了解、形成对策,在行业调整甚至洗牌的时候,就有可能因为后知后觉而被淘汰。

就拿我朋友公司的例子来说,随着业务的发展,使用上了NAS设备保存数据资产,但市面上大部分这类设备仅仅只是提供了一个简单的存储空间,并没有相应的专为老板设置安全防护机制。企业是由多个人组成的复杂体,有人的地方就有风险。作为老板,虽然不可能每天放着本职工作不做,去捣腾IT科技,但一些最基础的IT防范理念,则一定要掌握。比如,除老板外,机密数据是否可以任由公司内其他人随意拿走?就算可以拿走,那有没有相应的审计功能来留下记录和痕迹,以备将来复查?存储硬件设备被人直接偷走了怎么办?

基于过去多年企业服务经验,对于这些问题,我有三个建议:

第一, 选择拥有完善安全机制的产品,做到就算硬盘被人拔走,不经正确授权也无法读取其中的数据。其次系统应做到每个人都仅能在自己的权限范围内进行数据访问。这里有一个小技巧:对数据的控制力度越细越好。现在你可以不用,随着业务发展,这些功能总有一天能用到。

第二,最好能做到“管用”分离,即系统的管理和使用要分离。选择带有管用分离功能的系统,系统的管理人员(如服务器运维、后台权限管理)要和系统功能使用人员区隔开,各司其职。如要越权使用,也需要走企业规定的授权流程并在系统中留下记录,以做将来备查。

第三,强调并要求供应商落实一个完善的备份及数据恢复方案,且这个方案最好由企业管理者亲自掌控。这样,就算出现任何意外,还有一份完整的数据,对突发事件来说,至少有一个缓冲。

信息时代,企业数据和核心业务是紧密关联的。不拥抱科技,迟早在效率上吃亏;但引入科技后,一把手不重视、不去主动学习并掌控技术,这才是更大的问题