安全调查三种常见错误 防止落入圈套

ZDNet安全频道原创翻译 转载请注明作者以及出处

作者：汤姆·欧扎克

进行调查可以有效地提高人们遵守规则的意识。它们可以加强安全控制并帮助员工认识到安全团队是值得信赖的合作伙伴而不是公司的秘密警察。因此，调查人员必须避免三种常见的错误。
--------------------------------------------------------------------------------------------

策略是安全系统的一个组成部分。它们提供了一个框架，在此之下，可以建立规则，并确保它被遵循以及保证服务的正常运行。但只在公司内部张贴书面的策略是远远不够的。它们必须支持规则执行的情况进行检查。对违反规则的情况进行调查就是最有效的办法。

为什么要进行调查？

当一位或者多位员工涉嫌违反了策略的时间，必须进行调查的原因有两个。首先，调查报告可以提高管理人员对潜在问题的认识。很多策略只是无意被触犯。它们是错误的规则引起的。调查报告可以有效地帮助管理人员找到问题的所在，如何建立服务器、怎样授予相关的权限以及系统该怎么设计都会被包括在内，这样他们就可以采取措施，提高安全保护的效果。

第二，对于故意违反策略行为的处理必须迅速而公正。只有这样，才能加强员工对违规后果的认识。管理人员还可以将屡次违反策略的员工转移到业务风险较少的位置。

为了实现这些目标，必须认真调查以避免常见的错误，很多情况下，这往往导致调查遇到信任或管理支持方面问题。

调查中常见的易犯错误

如果采用的调查手段不合适的话，往往会给管理带来新问题。因此，调查的时间要注意方式和方法，以避免员工反应消极，导致新安全问题的出现。下面就是调查方面常见的一些易犯的错误和避免的方法：

1. 不准确的报告。调查人员应当积极客观地寻找所有的真相。有时候，调查报告没有对有关各方的所有人员进行全面询问或查看所有的相关现象。这种做法往往会导致调查报告只反应了一方面的观点，存在偏见。由于处于不同的位置以及支持不同观点的时间，对同一件事情的描述往往会是不一样的，因此，在这种情况下，调查人员最应该注意的就是对问题进行全面了解，防止偏见的发生。

2. 没有尽早通知管理人员。当一位安全分析师对事件进行调查的时间，他或她只会向管理团队的成员报告相关的事实。包括人力资源部门和违反规则人员的直接领导在内的管理团队需要对是否采取行动作出决定。我发现，尽早地通知他们有助于避免问题的出现，这样就象是“内部事务调查” ，而不是合作伙伴的努力保证了信息资产的安全。在我们的调查过程中，在确定一起事件、与员工进行面谈以及开始收集证据的时间，总是会尽快通知相应的管理人员。

3. 将安全调查写得象警方的犯罪调查。除非违法现象发生或者需要立即终止行动，否则的话，最后提出的报告应该基于行动后审查（AAR）的基础。提供调查报告的目的不是散布恐惧，而是用来改善安全的状况。与所有有关各方坐下来一起讨论，可以象管理人员期望的那样提高员工安全方面的意识。这有助于健全安全控制，并帮助员工认识到安全团队是值得信赖的合作伙伴而不是公司的秘密警察。