爱因斯坦带我们领略到了简单即美的物理世界,乔布斯为我们呈现出了极简主义的超凡设计,很多时候简单才能触及事物的本质。在企业管理中存在一个非常重要的原则“Keep It Simple, Stupid”,因为只有简单,才能被多数人接受,才能被更广泛地执行。企业信息泄露防护往往感觉纷繁无绪,更应该遵循KISS原则。
那么如何在企业防泄密中运用KISS原则呢?内网安全管理先锋溢信科技在长期的实践与观察中发现,目前企业在信息泄露防护项目上最需要简化三方面,分别是安全系统架构、信息使用环境及安全制度制定。
一、保持系统简单,从而实现操作简便
如果企业的安全机制太繁琐,员工就会想尽办法规避它们。对于一套信息泄露防护系统,如果没有人使用,不管它看起来多么强悍,但结果就是无效。
有些企业在采购信息泄露防护系统时,会选择“博采众长,强强联合”,将不同品牌的安全系统堆积在一起。然而实际上,由于同时运行多个系统,管理员需要同时登录多个帐户,在多个平台上设置策略,查阅数据等,管理难度顿时增加不少,再加上不同产品间的兼容性等问题,企业的整体防泄密系统变得更加复杂,实用性因此变弱。这样反而降低了防护效率,落得一个“1+1<2”的结局。
二、保持环境简洁,从而实现有序可控
如果将企业比作一个星球,而信息是生存其中的生命,那么企业中的信息生态环境往往是十分糟糕的。如重要文件随意摆放,各种来源的U盘交叉使用,各种软件随意安装,计算机配置随意修改等等,这种可能伤害信息的现象比比皆是,无形中增加了泄密机率。同时这种混乱无序的环境也会在无形中给员工一种“公司不重视信息泄露防护”的印象,逐步腐蚀掉员工的安全意识。
因此企业进行信息泄露防护可以先从规范信息使用环境入手,比如将移动存储设备进行统一的注册与管理,确保每个发放出去的设备都能追溯到责任人,每一次的设备使用都有操作记录;比如通过桌面标准化,对内网计算机上安装的应用程序、网络配置等进行统一设定,不允许个人随意修改。整洁的信息使用环境不仅能够提升企业防泄密系数,提高用户的安全意识,也利于塑造企业专业与值得信赖的形象。
三、保持制度简明,从而实现明确可行
提起信息安全制度,可能很多人脑海里浮现出来的是一本厚厚的操作手册之类的东西,文字艰涩,篇幅冗长,枯燥乏味,催人入睡。这样的制度虽然花费了很大气力,编制得全面而细致,但却少有人问津。
溢信科技认为,信息安全制度不应该是冷冰冰的警诫乃至命令,而是企业与用户之间有立场、有态度同时富含人性色彩的沟通方式。因此企业应该采取多种形式,以喜闻乐见的的叙述方式与员工进行交流,并配以合理的奖惩,从而达到亲和而不失威信的效果。简单,意味着良好的阅读体验,用户愿意理解;明朗,用户感受的不只是压力、约束、紧张,还有公司的诚意、用心与决心,才能更好将信息泄露防护制度执行下去。