[[405635]] 

假定員工想要盜取商業(yè)秘密會造成員工敵視安全團隊，制造壓力，降低生產(chǎn)力。

發(fā)生數(shù)據(jù)流出可信網(wǎng)絡(luò)的情況時，人們會下意識地懷疑其中牽涉惡意目的。我們常看到新聞媒體報道員工偷盜公司數(shù)據(jù)的事件，然后就推而廣之，得出數(shù)據(jù)泄露往往惡意的結(jié)論。某些情況下，數(shù)據(jù)泄露可能真的是出于惡意目的，但事涉值得信賴的員工外泄數(shù)據(jù)時，我們應(yīng)該花點時間深入挖掘一下，多了解點信息，尤其是考慮到數(shù)據(jù)滲漏情況往往是員工失誤或疏忽造成的。

絕大多數(shù)員工都是善良勤奮的人，從來沒想過引發(fā)網(wǎng)絡(luò)安全問題。事實上，2020年，17%的數(shù)據(jù)泄露事件是由人為失誤引起的，比2019年多一倍。

或許新員工在自己的工作設(shè)備上添加了個人iCloud云盤，卻沒意識到其默認(rèn)設(shè)置會導(dǎo)致公司數(shù)據(jù)自動上傳到iCloud賬戶?；蛘撸鹿诜窝滓咔槠陂g遠(yuǎn)程辦公的團隊成員可能用自家個人筆記本電腦訪問了文件。無論如何，員工沒想過故意引發(fā)問題。安全團隊假設(shè)員工故意破壞，無法預(yù)防未來的數(shù)據(jù)丟失。

事實上，假設(shè)員工想要盜取公司知識產(chǎn)權(quán)或商業(yè)秘密，反而會導(dǎo)致安全團隊和員工互相敵視，從而造成不必要的安全相關(guān)壓力。我們需要更好的理念，從假定員工只不過是想完成工作開始，從假設(shè)員工的行為都是出于善意開始。

善意安全文化的構(gòu)建，始于員工上班的第一天。即使只討論五分鐘，也要在入職過程中融入安全意識?？梢岳眠@點時間定下安全文化基調(diào)，說明公司安全團隊不是等著抓人的，公司需要員工幫助保護公司資產(chǎn)。此外，還應(yīng)該打好員工如何與安全團隊緊密合作的基礎(chǔ)：需要幫助時應(yīng)該找誰?遇到問題時應(yīng)該找誰?要報告問題或顧慮時應(yīng)該找誰?

定期提供有效的網(wǎng)絡(luò)安全培訓(xùn)也很重要，要將公司員工放在安全英雄的位置上，而不是將他們當(dāng)作敵人。與其只關(guān)心惡意數(shù)據(jù)盜竊，不如教育團隊將精力放在數(shù)據(jù)無意泄露的常見方式上，從而提高安全意識，防止將來再次出現(xiàn)此類事件。

無論哪種培訓(xùn)，深入人心、效果持久才是最終目的。如何做到這一點呢?讓培訓(xùn)本身具有吸引力。改變培訓(xùn)形式，并盡可能增加培訓(xùn)的交互性?？梢詫⒕W(wǎng)絡(luò)釣魚演練當(dāng)作安全挑戰(zhàn)：員工不點擊測試電子郵件和報告測試郵件都可以增加自己的得分;并且向員工說明舉行網(wǎng)絡(luò)釣魚培訓(xùn)的原因。數(shù)據(jù)安全公司Code42通常會提示新員工，說明公司舉行網(wǎng)絡(luò)釣魚測試并不是要耍人，而是幫助他們學(xué)會識別并報告可疑電子郵件。期待員工精通自己從未有機會實踐過的事情是不現(xiàn)實的。

透明度具有兩個方面的重大作用。Code42要求員工在出于業(yè)務(wù)或個人原因需要遷移或共享文件時通知公司。例如，正在辦理離職的員工通知公司安全團隊，說自己計劃將工作盤上存儲的一些個人照片轉(zhuǎn)移到自己的個人盤上。這種主動告知的行為很有幫助，不僅可以縮短調(diào)查時間，安全團隊也有機會建議更加安全的轉(zhuǎn)移方式，比如使用加密盤。

公司仍然有可能遭遇員工惡意滲漏數(shù)據(jù)。但假設(shè)數(shù)據(jù)泄露背后的人員并非惡意，仍是面對數(shù)據(jù)泄露的最佳方式，因為非惡意泄露才是常態(tài)。詢問員工有關(guān)安全失誤或錯誤的情況時，所用的語言和措辭可以在很大程度上顯示出公司的善意，讓員工放下戒心，愿意與安全團隊合作。

例如，檢測到可疑文件傳輸時，可以給員工發(fā)個留言說，“我們注意到有文件被傳輸?shù)絺€人電子郵件賬戶，您能確認(rèn)一下是否知情嗎?”，而不是“我們收到通知，您將文件傳輸?shù)搅藗€人電子郵件賬戶，所以我們要鎖定你的計算機”。或者，如果有人沒完成要求的安全培訓(xùn)，你可以說：“我們的記錄顯示，您的安全培訓(xùn)已過期，您能確認(rèn)嗎?”很多情況下，這種詢問會收到員工發(fā)來的回復(fù)，問哪里可以找到該培訓(xùn)，表明這不過是個教育/溝通問題，而不是故意無視。

安全問題會催生很大壓力，無論是對員工還是對安全團隊。我們需要重塑并加強安全敘事，強調(diào)大多數(shù)員工都是善意的。這么可以向員工表明，安全團隊將公司員工看做值得信賴的安全合作伙伴;還可以使業(yè)務(wù)部門在安全方法上更加高效和主動。