微笑曲線示意圖
微笑曲線理論不僅作為宏基的策略方向��,更成為臺灣各產業(yè)長期發(fā)展的策略,引導臺灣各行業(yè)走過轉型升級的再造之路�����。如今臺灣各行業(yè)發(fā)展贏得世人矚目���,微笑曲線功不可沒�����。
目前�����,大陸的企業(yè)也紛紛走上了轉型升級之路�,制造業(yè)企業(yè)更是首當其沖�。轉型前大多企業(yè)主要依靠規(guī)模經濟和廉價勞動力來賺取微博的利潤,轉型后則依靠設計圖紙�����、自主研發(fā)的產品等核心智慧資產成為提升利潤率的有利武器�。對于此時的企業(yè)����,最可怕的不是自主創(chuàng)新的高成本��,而是對智力資產保護不力�,造成信息泄露�����,最終導致的優(yōu)勢喪失��。即發(fā)生目前國內常見的“山寨猛于虎”的狀況����。
然而,信息外泄的途徑繁多���,涉及的人員規(guī)模也大��,我們都知道���,任何一個疏漏,都可能成為一起后果嚴重的泄密事件��。因此很多企業(yè)面對防泄問題往往找不到頭緒�����。根據美國FBI 調查顯示,80%的安全威脅來自企業(yè)內部��,將近60%的離職者或被辭退者在離開時會攜帶企業(yè)數據�。來自中國公安部的調查也顯示,國內75%以上的泄密事件是由內部員工造成的���。內部泄密已經成為造成企業(yè)信息泄漏的最大原因��。
因此�,信息防泄漏管理就如同做城防���,不是防止外面的敵軍攻入����,而是防止從內部攻破的城防����。如此一來,解決防泄漏問題的思路便清晰了:
首先��,設置安全瞭望哨���,洞曉城內的動靜����,發(fā)現安全隱患;
一說到城防��,不少人首先想到的即是“安全瞭望哨”�����,這也是城防“基本并且必須的”設置的崗位���。從現實的城防來看�����,也僅有“空城計”這一出戲沒有設置瞭望哨(但其真實性還存在爭議)�����,因此���,瞭望哨是城防當中不可缺少的一部分。
安全瞭望哨對應在信息防泄漏中即是安全審計���,而這一環(huán)節(jié)恰恰又被不少企業(yè)所疏忽�����,企業(yè)往往誤認為審計只是馬后炮�����。其實這嚴重低估了審計的作用��。當“生米煮成熟飯”之時���,企業(yè)已經陷入被動局面�、損失也已經無法挽回�����。
回顧一下L公司泄密事件:2005年前技術主任A先生離職���,并用移動硬盤拷走千余份重要的技術資料�。à2007年�����,A通過其前手下,共獲取L公司技術資料幾百份���。交給新東家換取高薪。à2008年�����,L公司發(fā)現泄密�,將A等告上法庭,最終L公司自曝經濟損失高達14億美元��,A面臨牢獄之災�。
其實這個事件,通過審計及早發(fā)現泄密并非難事�����,L公司就可以避免損失�����,從另外一方面來講�,A員工也避免了犯罪,總不至于造成最終這個“兩敗俱傷”的結局����。
事后追責�,僅僅是讓“偷竊者”受到了應有的懲罰���,對企業(yè)再無更多益處��。事實上��,安全管理較為成熟�����、完善的企業(yè)無一例外都非常重視審計��,規(guī)模稍大的企業(yè)還會設立部門來專門負責各種操作��、內容等審計工作��,以便能及早發(fā)現泄密的苗頭�����。
其次��,城內重要區(qū)域設置關卡�����,有相應令牌者方可進入;
不用說城防�,即使在占山為王的山寨中,也不是所有人都可以自由出入于山寨的任何地方���,一些重要的區(qū)域會有專人把守,沒有令牌���、不知暗語者無法進入��。企業(yè)信息防泄漏也是同樣的道理�,一來要在存有重要信息的地方設好關卡�,比如財務部、文檔服務器等��,避免無關的人員獲取到重要信息;二來要在消息的各個出口設置關卡����,比如U盤、E-mail等�,限制文檔的傳播,杜絕信息有這些出口不知不覺外流出去��。
企業(yè)在進行權限管理時,需看到隨著技術和應用的不斷快速豐富�,關卡也要及時增加,當下智能手機�、移動應用的普及,給企業(yè)的信息防泄管理帶來了新的挑戰(zhàn)����。企業(yè)需要靈活地新增關卡以便能夠適應和覆蓋新的產品或技術。
于此同時�,當人事變動出現時,及時更改關卡權限也是十分必要的���,三星泄密事件中其前雇員在提出離職后仍有權限訪問文檔服務器上的機密信息不可不說是事件得以發(fā)生的一大前提���。
最后,機密信息采用密報���,即使被夾帶出城��,也無法破解�����。
對于異常重要的信息���,審計和權限管理顯然不足以讓人高枕無憂��,還需要更為嚴苛的保護方法:將其做成密報�����,即使被帶出城去也無法破解���,只有這樣才讓人足夠安心。信息防泄漏中���,透明加密即可以做到這點,它好比給每個重要的文檔都配備一個專屬的貼身保險柜�����,沒有經過授權的人無法訪問和使用加密文檔�����,給機密信息帶來終極防護�。
加密的效果是非常誘人的,這也導致09年加密的大熱潮,然而加密性烈�,其副作用不可忽視,主要表現為有一定的風險�����,對企業(yè)運行會造成一些影響����。因此企業(yè)在選用加密產品時更需謹慎,對產品的穩(wěn)定性����、可用性和易用性要嚴格的考察。
因此�,企業(yè)在構建立體化、全方位的整體信息防泄體系時并不是一刀切�����、不分輕重的在全公司范圍內采取相同的策略����,這樣雖然看似達到了最為安全的效果,但實際將會為企業(yè)帶來高成本�、低效率以及難以使用和維護等困難。而安全沒有絕對,企業(yè)必須在所需的安全程度和為此付出的成本之間取得平衡�����,也是俗話說的性價比�����。
以通常所說的加密為例�����,其成本要遠遠高于審計和控制功能�����,且對企業(yè)運行效率有不可忽略的影響��,在實際實施時���,企業(yè)全面部署加密并非明智之舉,往往需要以上三種配合實施:第一步�����,首先全公司范圍都進行安全審計,及早發(fā)現外泄隱患;其次��,設置管控策略���,限制信息傳播���,并對產生重要信息的部門設置更為嚴格的管控策略;最后,針對極其重要的部門����,對其機密信息進行加密保護。這樣既有的放矢����,同時又在保證公司運行效率的前提下實現了最優(yōu)化的信息防泄管理。
