怎样制止内部人员的欺诈

　　在经济困难时期，CSO必须加强防欺诈的防线。

　　数据欺诈案让雇主们感到担心。现在许多害怕失去工作的雇员利用偷来的客户名单、营销数据或公司机密作为寻找新工作的敲门砖。据Ponemon Institute的一份报告说，离开或被要求离开公司的59%左右的雇员偷窃公司数据，其中三分之二的人承认利用过去任职的公司的机密、敏感或专有信息寻求新工作。

　　但是，Hunton & Williams公司合作人、隐私与信息管理实践负责人Lisa Sotto说，即使没有经济压力和裁员，数据偷窃“毫无疑问是每天都存在并继续存在下去的问题。”

　　Sotto举例说，呼叫代理由于很容易访问客户数据并且呼叫者愿意交出像信用卡号等敏感信息，因此容易造成数据泄露。

　　防欺诈计划的基本原则

　　突然审计是发现欺诈的有效手段。持证欺诈审查员协会(ACFE)计划主管Bruce Dorris说：“如果他们知道企业安全部门每月的第一个周二进行审计，他们就会在周一搞定一切。但是如果他们不知道审计人员何时来，审计人员更有可能当场发现欺诈。”此外，当雇员知道随时可能进行突然审计，他们实施欺诈的可能性也就减少了，因为有所忌惮。”

　　办公室。楼宇和楼宇周边的物理保护措施也可以阻止欺诈。前门有警卫吗?你锁上保存敏感数据的橱柜吗?你有管理像便携机和BlackBerry这类可移动媒介的政策吗?公司的垃圾到哪去了?Sotto回忆到，一家资产数十亿美元的家族公司20年前将大量用过的纸捐给一所幼儿园进行重复利用。最近，这家幼儿园的一位家长打电话报告说她孩子的一件手工作品的背面印有姓名和社会保险号。

　　敏感的文件应当粉碎或焚化

　　雇员应当根据级别来接触保密数据。每周或每个季度审查访问权限，并且立即终止离开公司的雇员的访问权。确保所有人都具有合适的访问级别，屏蔽某些访问级别看到的一些数据。审计日志软件也可以记录谁登录哪些文档和系统，他们何时和是否修改或输出了文件。

　　呼叫中心。呼叫中心的欺诈防范措施开始于雇用雇员前的背景检查。一旦他们就业，监视他们的计算机活动。卸下光驱或堵上USB端口，使信息不能被拷贝。采用无纸化工作环境，这样信息不能写在纸上，文件不能被带走。不让把钱包和背包带进呼叫中心机房。

　　在家里。在家工作的雇员监视起来会很困难。Sotto建议管理人员进行偶然的突然家访。她补充说：“实施规定PC机放在远离家人的隔离区，使用强密码和口令保护PC的政策。”

　　雇员教育。减少欺诈最容易和最便宜的途径之一是提高雇员对防欺诈和安全的意识和培训。例如，可以培训雇员了解如何处理留在打印机附近的敏感文件。Safir说：“他们可能不知不觉地打印可被用于欺诈或偷盗活动的重要信息，将它们留在打印机附近。最重要的是，让雇员在加入公司的第一天起就知道公司防欺诈活动的规定和预期，而不是在欺诈发生后。”

　　将防欺诈与安全计划结合在一起

　　防欺诈政策和程序应当成为总体安全计划的一部分，并采纳法律总顾问的建议。

　　Safir Rosetti公司COO Adam Safir说：“一些CSO与法律总顾问密切合作，并在这些非常敏感的问题上越来越依靠一些经验非常丰富的法律总顾问作为‘事实发现者’。一名主动、很好地履行职责的好CSO最终将与法律总顾问有共同语言，并为法律总顾问提供服务。”(美国《Network World》供本报专稿)