文/新浪财经专栏作家 陈一佳[微博]
总统奥巴马怎么也没想到的是,让美国政府陷入一系列尴尬的监视丑闻、无法收场的,不是中国,不是俄罗斯,而是一个小小的合约雇员——斯诺登。还是那句话,对你最有杀伤力的往往不是敌人,而是亲信。此类事件不仅会发生在国家层面,很多公司在管理上也是暗藏危机。
让美国政府陷入一系列尴尬的丑闻、无法收场的,不是中国,不是俄罗斯,而是一个小小的合约雇员——斯诺登。斯诺登,中情局,香港,逃亡……棱镜门如精彩的好莱坞大片一样不断发酵。
一贯高调鼓吹要开放、平等、信息公开的美国,不仅在自己的国民面前颜面大失,更在国际舞台上打了自己一记耳光,得罪了欧盟和日本等战略盟友。
总统奥巴马怎么也没想到的是,让美国政府陷入一系列尴尬的监视丑闻、无法收场的,不是中国,不是俄罗斯,而是一个小小的合约雇员——斯诺登。还是那句话,对你最有杀伤力的往往不是你的敌人,而是你的亲信。
此类事件不仅会发生在国家层面,很多公司在管理上也是暗藏危机。斯诺登并非掌管了控制国家机密决议的大权,他有的只是能接触内部信息的机会。在很多企业内部,又何尝不存在这种信息在内部过度暴露的现象呢?
对于一家企业而言,最大的安全漏洞会出现在哪里?网络安全公司SSH创始人、首席执行官Tatu Ylönen告诉笔者,答案是内部信息无管制。过度暴露,给企业发展和股东利益造成了巨大的隐患。
人们常说内贼难防,而内贼的杀伤力在现代社会明显升级。由于信息电子化、云技术在企业管理中的普及,使公司内部信息比过去任何一个时代更加密集、复杂而完整,同时获得这些信息的渠道可以大量复制,泄露的可能跟随陡增。与此同时,各个行业,特别是金融行业对信息技术的依赖程度越来越大,业务的核心更大程度上取决于对信息的使用。
这直接造成两个结果,一个是公司内部需要有渠道获得大量重要信息的人群比例越来越高,管理的难度提高了,出现问题的机率增大了。另外一个结果就是信息泄露可能对业务的影响不光变得更加直接,而且可能的影响有时甚至是不可估量的。
SSH的国际市场部总监Jason Thompson表示,很多大企业虽然对个人互动式信息的监控比较完善,但大公司和大银行对于所有内部资讯流量的管理度只有15-20%。可想而知隐患是巨大的。
网络安全公司SSH创始人、首席执行官Tatu Ylönen认为,内部信息无管制容易引发公司安全危机。如此巨大的问题要如何解决呢?抛开生僻的科技概念不谈,我们还是聚焦回棱镜门本身,斯诺登的连续爆料,我们至少可以质疑几个问题去探讨问题的答案。
问题一:为什么斯诺登能拿到那么多信息?
一个人为美国安全局工作时,在他的职权范围内,到底需要了解多少信息?现在普遍的金融机构已经能够做到设置分级的授权系统,但是在权限的管理上还存在明显漏洞。尤其是在大企业,个体需要使用的信息往往是有限的,权限上根据需要界定才会更合理和安全。
在此之上,任何人能使用的权限都应当加上一个时间限制。像斯诺登这样的合约人员,应该界定他权限的时间。只有能有效控制使用特殊权限的范围和时间,才能降低危机带来得后果。
问题二:斯诺登所在的部门功能是否过度集中?
这可能更多是管理理念的问题。公司分离不同部门的职能,一个好处在于企业的核心信息也跟着分离了。在美国,包括高盛等大的金融机构里,前台和后台部门间的人员基本不会互调。比如做数据分析的员工不应当接触到客户和销售,而做销售的员工又不可能接触到技术和开发。
撇开能力和经验考虑,更多是因为当你对两边的核心都了解后,很容易就掌握了公司经营的核心。可见,分离相关信息在提高信息安全上是非常有效的,这样独立信息的价值就自然降低了。
问题三:为什么斯诺登大量存下国际机密文件的反常行为,没有引起任何注意?
现代企业管理中,一个重要的概念就是Audit Trail。翻译成中文叫秋后算账。所谓Audit Trail,就是任何一个员工在企业内部一举一动、蛛丝马迹都要受到事后审查。在一个信息化的系统里,个体通过有效权限进入后,他的微小行为往往会被忽视。过度的审查又会增加管理成本,降低员工互信。也许我们能够通过更好地利用科技和技术手段,通过更加有选择地对反常行为进行审查,有效提高安全度。
信息安全常常只是在出现灾难的时候才被发现重要性。我们在享受现在技术的种种好处的时候,也要想到的风险的防范。棱镜事件背后最让美国丢面子的是对自己信息的管理不当。Thompson介绍世界前5大银行未来两年战略十大事之一就是信息安全,而我们面对的不光是技术,更是管理的理念。
(本文作者介绍:路透社电视财经记者及评论员,NYFP,中央人民广播电台等媒体特约评论员。)
本文为作者独家授权新浪财经使用,请勿转载。所发表言论不代表本站观点。
