问:我们公司最近产生了一次安全事件,一名员工明知故犯,将敏感数据下载到个人USB记忆棒中。我建议公司开除这名员工,但管理层却决定放他一马。我如何向管理层阐明,这一处理决定可能会对未来的安全政策履行造成极其严重的影响呢?
答:很遗憾,这个问题是当今许多公司的安全专业人士和主管面临的众多挑衅之一。这一特别问题往往层出不穷:违背USB安全政策的员工同时也深受公司器重,由于其具有的专业知识或丰富经验,其他人通常难以轻易取而代之。
下面是我以前寻求管理层的支撑时曾经采用过的一些方法,以资借鉴。首先,你可以尝试向你的直接上级(CIO、CFO或安全总监)汇报,使其明白此类事件的当前成果和长期影响。在汇报中,既要尽量避免应用太情感化的词语(例如,你刚才应用的“极其严重”一词可能过于夸张),但又要明白指出,这一处理决定可能不符合公司的最佳利益。因为其他员工可能会认为,这种处理暗示了某些安全政策可以不履行。
其次,你可以建议管理层考虑在该员工的人力资源档案中装入一份文件,阐明他或她曾经违背公司的安全政策(包含这一事件产生的日期、时间、证明人等),并受到某种警告(最好有书面记录)。
再次,你可以以此次安全事件为契机,开展内部宣传运动(例如通过广播电子邮件、海报等),提示全部员工,数据保护对于每个人——员工、客户、供给商以及全部公司都非常重要,从而防止此类安全事件再次产生。
然而,在内部宣传运动中,注意不要引用任何诸如“处理直至开除”之类的处分规矩。由于公司最近产生的这一安全事件,更多对履行安全政策持猜忌态度的员工将会不信任这类消息。
最后,制定一份“完整备选计划(Cover Your Alternatives,CYA)”文件,其内容应包含该安全事件的总结文档、你与你的直接上级的对话、防止此类事件再次产生所采用的举动等。CYA文件记录了安全事件产生时公司所采用的举动以及相干的材料,在将来对此次安全事件进行分析或审查时,可以充分证明安全事件管理的有效性。
相关阅读