在大多數(shù)企業(yè)中，解雇員工既不是IT部門的職責(zé)也不是安全經(jīng)理的職責(zé)。但是這個(gè)簡(jiǎn)單的事實(shí)似乎還有一些人不是很清楚，在IT領(lǐng)域中經(jīng)常會(huì)有安全管理員認(rèn)為禁用防病毒程序會(huì)導(dǎo)致降級(jí)或者IT經(jīng)理發(fā)現(xiàn)有人使用無(wú)執(zhí)照媒體制造假通勤而解雇該員工等事情。

　　而且，很多時(shí)候，肇事者通常只是無(wú)意識(shí)的犯錯(cuò)誤，或者他們只是把事件悄悄的擱置在一旁而沒有受到任何責(zé)備，安全部門的人員對(duì)于這種態(tài)度感到驚訝和失望。那么為什么公司會(huì)有這樣的脫節(jié)呢?因?yàn)樗麄儧]有協(xié)同人力資源，而且對(duì)于這些行為的嚴(yán)重性或者風(fēng)險(xiǎn)性沒有明確的界定，即使是那些理應(yīng)得到嚴(yán)肅對(duì)待的事件也同樣如此。

　　對(duì)于上述問(wèn)題的解決辦法就是在事件發(fā)生之前尋求正確的人力資源管理。我知道，就像狗和貓一起生活一樣，這種概念---過(guò)于感情化的人力資源工作人員與強(qiáng)硬并且粗俗的IT安全人員們一起工作，似乎預(yù)示著企業(yè)將走向滅亡。但是在很多問(wèn)題上需要這兩部分人員的密切合作，如果能在事故發(fā)生之前意識(shí)到這一點(diǎn)，就可以避免很多痛苦和麻煩。

　　身份和認(rèn)證

　　為一個(gè)新雇員初步建立的身份信息(包括駕駛執(zhí)照和W-2證件等)是人力資源專門負(fù)責(zé)的職責(zé)。當(dāng)身份建立后，該新雇員就能夠被證實(shí)他確切的身份，那么，我們就認(rèn)為，初步鑒定和認(rèn)證或者又被稱為“initial I&A”的步驟完成了。

　　而這絕不是一種能夠自動(dòng)進(jìn)行的任務(wù)，同樣的，也不是IT部門的任務(wù)。如果有人出現(xiàn)在IT服務(wù)臺(tái)索要員工信息，而服務(wù)臺(tái)卻沒有人力資源關(guān)于初步鑒定和認(rèn)證的記錄，那么警報(bào)器就該發(fā)出警報(bào)了。除非有某種特例---廠商與企業(yè)部門的合同作為initial I&A時(shí)，企業(yè)就會(huì)賦予廠商臨時(shí)ID，在一般情況下，IT部門不應(yīng)該負(fù)責(zé)由人力資源部門管轄的事務(wù)。

　　這是我所見過(guò)的最常見的錯(cuò)誤之一，不過(guò)initial I&A不應(yīng)該與職責(zé)和權(quán)利的實(shí)施混為一談。只有當(dāng)是否雇傭某人的管理決議由人力資源執(zhí)行時(shí)，一個(gè)人的網(wǎng)絡(luò)個(gè)人信息才能與任務(wù)、具體職責(zé)、薪酬和工作的其他事宜相結(jié)合。如果這些步驟都會(huì)混淆意味著人力資源部門的失職，而這必然導(dǎo)致沖突、混亂和安全性減弱。

　　可接受行為

　　IT部門可能算得上是看門人，但是它并不是公司所有涉及個(gè)人信息和道德倫理方面的事情的仲裁者，而且這是人力資源的工作，即使IT總管或者安全人員執(zhí)行的是IT政策保護(hù)傘下的“可接受使用的”策略。IT部門經(jīng)常會(huì)試圖為企業(yè)組織的電腦系統(tǒng)和資源信息確立正確的倫理行為。

　　可能說(shuō)這些會(huì)有點(diǎn)混淆主題，人們可能會(huì)認(rèn)為只有某些特定的行為會(huì)被禁止，或者會(huì)認(rèn)為技術(shù)誤用與實(shí)際的倫理違背之間沒有明確的聯(lián)系，混淆會(huì)造成不明確性，而不明確性會(huì)使員工不清楚該如何行事。

　　與人力資源部共同來(lái)理解企業(yè)組織的倫理標(biāo)準(zhǔn)是非常重要的，而且能確保他們對(duì)可能發(fā)生的事情承擔(dān)責(zé)任。例如，一個(gè)非IT倫理政策可能只會(huì)側(cè)重于工作績(jī)效和性別等敏感問(wèn)題，而忽視現(xiàn)如今信息技術(shù)所允許的資源和共同行為等。

　　通過(guò)審查所有的這些政策，人力資源部門可能會(huì)決定增加關(guān)于處理敏感信息或者當(dāng)與公司資源結(jié)合時(shí)的行為等問(wèn)題的主題。只需要一些耐心，就可能很大程度上依靠人力資源政策，那樣一個(gè)“可接受使用政策”就可以專注于真正的用途以及潛在的缺陷問(wèn)題上，而不是試圖重新設(shè)定政策背后的倫理鑒定。

　　培訓(xùn)vs.意識(shí)

　　對(duì)于大部分IT部門安全人員來(lái)說(shuō)，白天基本上沒有足夠的時(shí)間完成工作，所以我常常在想為什么他們花費(fèi)這么多時(shí)間來(lái)為全體辦公室人員提供信息網(wǎng)絡(luò)安全培訓(xùn)，把時(shí)間花費(fèi)在那種單一用途的培訓(xùn)班不僅僅是浪費(fèi)時(shí)間，而且那些自愿參加培訓(xùn)班的不一定是最需要得到培訓(xùn)的人員。

　　不管是在易趣網(wǎng)上買賣東西或者在辦公桌前經(jīng)營(yíng)業(yè)務(wù)，行為、注意事項(xiàng)、政策和培訓(xùn)都應(yīng)該是類似的，雖然模式略有不同。交易ID證章和數(shù)據(jù)庫(kù)帳號(hào)信息?將鑰匙遺忘在門上或者將筆記本電腦的密碼寫在明顯位置?當(dāng)系統(tǒng)中出現(xiàn)嚴(yán)重問(wèn)題或者文件檔案沒有上鎖需要立即呼叫經(jīng)理?技術(shù)不是這些問(wèn)題的答案。

　　如同信息安全中的大多數(shù)其他管制措施一樣，最有效的措施無(wú)非是正確履行任務(wù)的業(yè)務(wù)流程，那樣就沒有理由不將安全培訓(xùn)和根據(jù)企業(yè)組織政策定期設(shè)立的人力資源培訓(xùn)相結(jié)合。首先，IT安全培訓(xùn)者應(yīng)該要查閱人力資源培訓(xùn)列表或者目錄，看看在現(xiàn)有的課程中那些信息可以相互結(jié)合。

標(biāo)簽： 安全 標(biāo)準(zhǔn) 媒體 企業(yè) 數(shù)據(jù)庫(kù) 網(wǎng)絡(luò) 網(wǎng)絡(luò)安全 問(wèn)題 信息安全 信息技術(shù) 信息網(wǎng)絡(luò)安全

版權(quán)申明：本站文章部分自網(wǎng)絡(luò)，如有侵權(quán)，請(qǐng)聯(lián)系：west999com@outlook.com
特別注意：本站所有轉(zhuǎn)載文章言論不代表本站觀點(diǎn)！
本站所提供的圖片等素材，版權(quán)歸原作者所有，如需使用，請(qǐng)與原作者聯(lián)系。