離開公司的員工絕大部分是誠(chéng)實(shí)正直、遵紀(jì)守法的企業(yè)公民。但是你永遠(yuǎn)不知道何時(shí)某個(gè)員工可能因與公司交惡而走人，隨后回過頭來企圖闖入貴企業(yè)的系統(tǒng)。

　　在如今，由于企業(yè)數(shù)據(jù)可能駐留在眾多地方：從云環(huán)境到員工帶到辦公場(chǎng)所的智能手機(jī)，保護(hù)公司資產(chǎn)、以免被前任員工破壞來得更加困難。

　　本文介紹保護(hù)企業(yè)數(shù)據(jù)、以免被前任員工破壞的幾個(gè)步驟。

　　取消為所有設(shè)備配置的資源

　　據(jù)普華永道會(huì)計(jì)師事務(wù)所風(fēng)險(xiǎn)保證業(yè)務(wù)部的Joe DiVito聲稱，取消配置的資源應(yīng)該是保護(hù)數(shù)據(jù)方面采取的第一步。

　　DiVito說：“對(duì)許多企業(yè)來說，取消配置的資源并非易事。它們?cè)诰W(wǎng)絡(luò)層面可能做得很好，但是應(yīng)用程序?qū)用婵赡荛T戶大開。針對(duì)應(yīng)用程序?qū)釉L問的管理往往是分散的，歸屬應(yīng)用程序擁有者或業(yè)務(wù)部門。”

　　他補(bǔ)充說，公司需要落實(shí)一套流程，將解雇通知告知所有的應(yīng)用程序擁有者。DiVito提醒，取消配置的資源可能會(huì)很棘手，如果訪問管理和相關(guān)的控制機(jī)制分散于中央IT部門和數(shù)據(jù)擁有者之間，尤為棘手。

　　他說：“設(shè)計(jì)和運(yùn)作用戶資源配置控制機(jī)制存在一定的控制風(fēng)險(xiǎn)。企業(yè)要正確核計(jì)賦予員工的訪問權(quán)限。要確定誰擁有授權(quán)和日常訪問該數(shù)據(jù)的權(quán)限，并確保需要修改或撤銷訪問權(quán)限時(shí)，各有關(guān)方均通知到位。要管理這種風(fēng)險(xiǎn)，解決辦法往往不需要復(fù)雜的手段，只需要加強(qiáng)溝通就行。”

　　在Steelcase這家辦公家具公司，一款自定義的微軟.NET工具處理取消配置的資源這項(xiàng)任務(wù)。而IT部門與人力資源部門緊密協(xié)調(diào)。

　　據(jù)Steelcase公司CIO Bob Krestakos聲稱：“.NET工具使用盡可能多的標(biāo)準(zhǔn)API（應(yīng)用編程接口）來聯(lián)系各個(gè)系統(tǒng)，禁用或刪除用戶帳戶。比如說，可以通過該應(yīng)用軟件，暫停或刪除電子郵件帳戶，取消訪問我們活動(dòng)目錄的權(quán)限，以及刪除訪問SharePoint的權(quán)限。同樣以這種方式管理訪問內(nèi)部社交媒體和產(chǎn)品開發(fā)系統(tǒng)的權(quán)限。”他補(bǔ)充說，除了消除產(chǎn)品開發(fā)部門的PTC產(chǎn)品資料庫外，這款.NET工具還消除了SAP系統(tǒng)的ID。

　　他補(bǔ)充說，此外，該應(yīng)用軟件可以自動(dòng)將電子郵件通知發(fā)送給用戶帳戶的管理員，創(chuàng)建審計(jì)跟蹤記錄。

　　Krestakos說：“.NET工具讓管理員在大型IT環(huán)境下很容易關(guān)閉訪問所有系統(tǒng)的權(quán)限。它讓為好幾個(gè)步驟實(shí)現(xiàn)了自動(dòng)化。”他補(bǔ)充說，整個(gè)過程由人力資源部門操控。

　　Krestakos說：“有人離職或辭職時(shí)，特別是如果他們身處像企業(yè)戰(zhàn)略或產(chǎn)品開發(fā)這樣的數(shù)據(jù)敏感部門，我們可能會(huì)在他們離開之前就啟動(dòng)取消配置的資源這個(gè)過程。在其他情況下，我們讓所在部門的經(jīng)理知道情況，我們保留帳戶，直到經(jīng)理說可以關(guān)閉這些帳戶。”

　　使用自動(dòng)化工具

　　IDC公司的分析師Sally Hudson說：“員工不管出于什么原因離開公司后，這一信息應(yīng)該立即自動(dòng)由人力資源部門轉(zhuǎn)告IT部門，取消該員工訪問企業(yè)內(nèi)部所有帳戶的權(quán)限。目前這方面有許多成熟的用戶資源配置軟件。”

　　分析師們表示，此外，眾多現(xiàn)成的應(yīng)用軟件有助于確保員工、尤其是高層員工離職后，無法訪問企業(yè)系統(tǒng)。這些軟件包括IBM、甲骨文、Quest軟件公司（現(xiàn)隸屬戴爾）和冠群的軟件，還包括Cyber-Ark和Xceedium等專業(yè)開發(fā)商的軟件，它們提供的特權(quán)身份管理（PIM）解決方案廣泛應(yīng)用于《財(cái)富》2000強(qiáng)企業(yè)。

　　Hudson說：“現(xiàn)在還有制約與平衡手段：特權(quán)身份管理軟件可以確保被授予很大權(quán)限的前任員工（包括企業(yè)高管和系統(tǒng)管理員）無法利用之前很高的訪問權(quán)限和帳戶特權(quán)級(jí)別，在公司里面大搞破壞或胡作非為。”

　　一些人建議采取全面的方法來取消配置的資源。據(jù)Frost and Sullivan公司的分析師Michael Suby聲稱，要是不走全面的方法這條路，身份和訪問管理流程可能毫無成效。

　　他說：“數(shù)據(jù)的位置變得非常分散，很難保持監(jiān)管。你還需要對(duì)數(shù)據(jù)進(jìn)行分段，這項(xiàng)工作是數(shù)據(jù)治理的一個(gè)環(huán)節(jié)。要是我所在企業(yè)有大量的員工信息，比如電話號(hào)碼、工資和人事記錄，我就要確保，這些信息單獨(dú)存儲(chǔ)在另一個(gè)系統(tǒng)中。而商業(yè)計(jì)劃和企業(yè)并購等信息封鎖起來，一般人訪問不到。針對(duì)這些信息的訪問需要加以管理。如果你事后再進(jìn)行管理，就好比讓谷倉大門敞開著。”

　　IDC公司的Hudson補(bǔ)充說：“對(duì)所有大型企業(yè)而言，自動(dòng)化證明流程應(yīng)該是看管的一個(gè)基本方面，所有業(yè)務(wù)部門負(fù)責(zé)人證明誰按照企業(yè)內(nèi)部被分配的角色，可以訪問什么數(shù)據(jù)。過去這通過電子表格來手動(dòng)完成，而現(xiàn)在有了自動(dòng)化并更新這些輸入的軟件，一旦檢測(cè)到異常情況，就會(huì)自動(dòng)發(fā)出警報(bào)。”

　　思科的IT部門也讓取消配置資源過程的大部分環(huán)節(jié)實(shí)現(xiàn)了自動(dòng)化。思科IT移動(dòng)服務(wù)高級(jí)經(jīng)理Brett Belding表示，一旦員工告知人力資源部門要走人，而且一經(jīng)人力資源部門確認(rèn)，公司就會(huì)采取一系列措施，防止員工訪問企業(yè)數(shù)據(jù)。

　　他說：“通知人力資源部門后，會(huì)針對(duì)員工的數(shù)據(jù)訪問權(quán)采取一系列措施。決定離開的員工要交出企業(yè)筆記本電腦，也無法訪問AnyConnectVPN、我們的企業(yè)資源規(guī)劃（ERP）、人力資源系統(tǒng)以及之前可以訪問的其他每個(gè)系統(tǒng)。在不同的國(guó)家，時(shí)間長(zhǎng)短不一，但通常是在離職前的最后一星期。比如說，我們提前關(guān)閉訪問VPN的權(quán)限。”

　　弗雷斯特研究公司的分析師AndrasCser補(bǔ)充道：“應(yīng)用程序擁有者與人力資源部門一定要有融洽的關(guān)系。IT部門也要與監(jiān)管部門一起確保符合法規(guī)，無論是金融領(lǐng)域的《金融服務(wù)現(xiàn)代化法案》（GLBA）、醫(yī)療保健領(lǐng)域的《健康保險(xiǎn)可攜性及責(zé)任性法案》（HIPAA），還是《薩班斯-奧克斯利法案》；后一項(xiàng)法案規(guī)定，作為一條最佳實(shí)踐，員工信息須由管理員保持30天內(nèi)可以訪問，以防需要審計(jì)。”

　　擦除/清除設(shè)備的數(shù)據(jù)

　　在自帶設(shè)備（BYOD）蔚然成風(fēng)的環(huán)境下，離職員工的設(shè)備一般由IT部門清除設(shè)備上的數(shù)據(jù)，或者自行處理這項(xiàng)任務(wù)。但是在清除數(shù)據(jù)之前，IT人員必須知道設(shè)備上有什么數(shù)據(jù)。

　　普華永道的DiVito說：“企業(yè)需要確定實(shí)體資產(chǎn)上有什么數(shù)據(jù)，比如手機(jī)上的ID。但即便一些企業(yè)在這方面作了仔細(xì)檢查，還是很難知道什么數(shù)據(jù)應(yīng)該擦除。受到監(jiān)管部門監(jiān)督的公司在這方面做得比較好。生產(chǎn)型企業(yè)就不是那么到位。”

　　Steelcase公司要求自帶設(shè)備的員工簽署一項(xiàng)協(xié)議，表明他們離開公司后，會(huì)清除設(shè)備上的數(shù)據(jù)。CIOKrestakos表示，公司在北美有3000個(gè)移動(dòng)用戶，其中一半使用BYOD計(jì)劃，這一招已見成效。

　　“員工必須同意通過書面協(xié)議同意某些規(guī)定。我們沒有實(shí)施確保他們沒有保存企業(yè)數(shù)據(jù)的任何規(guī)定，也沒有對(duì)此進(jìn)行監(jiān)控的解決方案，就只有員工簽署的協(xié)議。協(xié)議要求員工使用密碼保護(hù)手機(jī)，維護(hù)某種應(yīng)用程序，讓他們得以遠(yuǎn)程訪問及擦除內(nèi)容。”

　　正如在思科，人力資源部門也參與其中。他補(bǔ)充說：“員工離開公司后，他們要接受人力資源部門的離職面試，需要匆匆看一遍核對(duì)列表。人力資源部門收回發(fā)給某個(gè)員工的所有技術(shù)設(shè)備，提醒對(duì)方不得將企業(yè)數(shù)據(jù)留在任何個(gè)人設(shè)備上。”

　　留意云端

　　員工離職后，仍可以訪問云端會(huì)帶來棘手的問題，因?yàn)樵剖遣皇芸刂频那馈rost and Sullivan的Suby表示，在員工走人之前將政策落實(shí)到位可緩解整個(gè)過程。

　　“企業(yè)一定要有政策和程序，表明什么是經(jīng)過許可的網(wǎng)站；如果網(wǎng)站未經(jīng)許可，你就要加以阻止。你要確定如何阻止數(shù)據(jù)轉(zhuǎn)移到你一無所知的地方，比如Dropbox或另一家云服務(wù)提供商。”

　　在思科，內(nèi)部和外部云服務(wù)與其一系列移動(dòng)應(yīng)用程序聯(lián)系在一起。Belding表示，為了對(duì)付員工對(duì)云端數(shù)據(jù)做手腳，IT管理人員采取的辦法是，只發(fā)送應(yīng)用程序的圖像，而不是實(shí)際數(shù)據(jù)。

　　他說：“我們的一系列移動(dòng)應(yīng)用程序中許多與云服務(wù)聯(lián)系在一起，無論是內(nèi)部云服務(wù)還是外部云服務(wù)。如果你想查看財(cái)務(wù)數(shù)據(jù)，下載的不是實(shí)際數(shù)據(jù)，而僅僅是圖像。我們稱之為比特與像素。針對(duì)云數(shù)據(jù)和移動(dòng)數(shù)據(jù)，你只可以下載像素。那樣一來，設(shè)備上的數(shù)據(jù)越來越少。如果你在瀏覽器中編輯一個(gè)電子表格，那都是像素格式；當(dāng)我關(guān)閉服務(wù)后，你就再也無法訪問。”

　　Steelcase對(duì)可以上傳到公司所用的Google Drive云的數(shù)據(jù)的類型進(jìn)行了限制。企業(yè)戰(zhàn)略和產(chǎn)品開發(fā)數(shù)據(jù)屬于最重要的數(shù)據(jù)類型之一，這些數(shù)據(jù)不得存儲(chǔ)在Google Drive上。

　　Krestakos說：“公司告誡員工，他們?cè)趶氖马?xiàng)目的敏感方面，需要采取防范措施，以保護(hù)信息。”