一分钟发现毁灭企业的30种细节

一分钟发现毁灭企业的 30 种细节封面故事：信息致死小心 30 个细节，一分钟毁灭你的公司这是一个以 1%、2%决胜负的商业时代，一个信息就可以左右企业的成败。这个信息在自己手里是王牌，在对手手里是炸弹。如此重要的信息，可能在老板的大脑里、公司电脑里、一个打印稿的背面，甚至在一个垃圾筐里。随时都有泄漏的可能，泄漏的结果轻则使公司蒙受损失，重则毁灭公司。你要怎么防备？信息安全？“不就是安装杀毒软件，在电脑上设设密码吗”？当你这样想，你就和全世界95%的人一样，都错估、低估了信息对公司的致命影响；好在全世界就是有 5%的人，和中国财富一样，恐惧、震慑、急着应变于信息对商业世界爆炸性的影响力，他们是谁诺基亚(NOKIA)、微软(Microsoft)、麦格劳希尔(Mcgraw-Hill Company)、还有可口可乐(Coca-Co 而不是技术问题.la)谁是那百分之五？当你读这篇文章的时候，全世界又有 2 个企业因为信息安全问题倒闭，有 11 个企业因为信息安全问题造成大概 800 多万的直接经济损失。中国财富通过对 100 个经理人的调查总结 30 个致命细节，让您 5 分钟快速成为信息安全专家。1、 打印机 10 秒延迟带来信息漏洞 即使是激光打印机，也有 10 秒以上的延迟，如果你不在第 9 秒守在打印机的旁边，第一个看到文件的人可能就不是你了。大部分的现代化公司都使用公用的打印机，并且将打印机、复印机等器材放在一个相对独立的空间里。于是，部门之间的机密文件就可以从设备室开始，在其他部门传播，当部门之间没有秘密，公司也就没有秘密了。2、 打印纸背面好习惯换取的大损失 节约用纸是很多公司的好习惯，员工往往会以使用背面打印纸为荣。其实，将拥有这种习惯公司的“废纸”收集在一起，你会发现打印、复印造成的废纸所包含公司机密竟然如此全面，连执行副总都会觉得汗颜，因为废纸记载了公司里比他的工作日记都全面的内容。3、 电脑易手新员工真正的入职导师 我们相信，所有的职业经理人都有过这样的经历：如果自己新到一家公司工作，在自己前任的电脑里漫游是了解新公司最好的渠道。在一种近似“窥探”的状态下，公司里曾经发生过的事情“尽收眼底” ，从公司以往的客户记录、奖惩制度、甚至你还有幸阅读前任的辞呈。如果是其他部门的电脑，自然也是另有一番乐趣。4、 共享做好文件 再通知窃取者 局域网中的共享是获得公司内部机密最后的通道。有的公司为了杜绝内部网络泄密，规定所有人在共享以后一定要马上取消。实际上越是这样，企业通过共享泄露机密的风险越大。因为当人们这样做的时候，会无所顾及地利用共享方式传播信息，人们习惯的方式是在开放式办公间的这边对着另一边的同事喊：“我放在共享里了，你来拿吧” ，没错，会有人去拿的，却往往不只是你期望的人。5、 指数对比聪明反被聪明误 在传统的生产型企业之间，经常要推测竞争对手的销售数量、生产数量。于是，人们为了隐藏自己的实际数量，而引入了统计学里的指数，通过对实际数量的加权，保护自己的机密信息。唯一让人遗憾的是，通常采取的简单基期加权，如果被对方了解到几年内任何一个月的真实数量，所有的真实数量就一览无余地出现在竞争对手的办公桌上了。6、 培训 信息保卫战从此被动 新员工进入公司，大部分的企业会对新员工坦诚相见。从培训的第一天开始，新员工以“更快融入团队”的名义，接触公司除财务以外所有的作业部门，从公司战略到正在采取的战术方法，从公司的核心客户到关键技术。但事实上，总有超过五分之一的员工会在入职三个月以后离开公司。同时，他们中的大部份没有离开现在从事的行业，或许正在向你的竞争对手眉飞色舞地描述你公司的一草一木。7、 传真机你总是在半小时后才拿到发给你的传真 总有传真是“没有人领取”的，每周一定有人收不到重要的传真；人们总是“惊奇地”发现，自己传真纸的最后一页是别人的开头，而你的开头却怎么也找不到了。8、 公用设备不等于公用信息 在小型公司或者一个独立的部门里，人们经常公用 U盘、软盘或手提电脑。如果有机会把 U 盘借给公司的新会计用，也就有可能在对方归还的时候轻易获得本月的公司损益表。9、 摄像头 挥手之间断送的竞标机会 总部在上海的一家国内大型广告公司，在 2004年 3 月出现的那一次信息泄露，导致竞标前一天，广告创意被竞争对手窃取，原因竟然是主创人员的 OICQ 上安装了视频，挥手之间，断送的或许并不仅仅是一次合作的机会。10、 产品痕迹靠“痕迹”了解你的未来 在市场调查领域，分析产品痕迹来推断竞争对手行销效果和行销策略是通用的方法。产品的运输、仓储、废弃的包装，都可以在竞争对手购买的调研报告中出现，因为“痕迹分析”已经是商业情报收集的常规手段。11、 压缩软件对信息安全威胁最大的软件 ZIP、RAR 是威胁企业信息安全最大的软件。3 寸软盘的存储空间是 1.4M，压缩软件可以让大型的 WORD 文件轻松存入一张软盘，把各种资料轻松带出公司。12、 光盘刻录资料在备份过程中流失 如果想要拿走公司的资料，最好的办法是申请光盘备份，把文件做成特定的格式，交给网络管理员备份，然后声称不能正常打开，要求重新备份，大多情况下，留在光驱里的“废盘”就可以在下班后大大方方带出公司。13、 邮箱信息窃取的中转站 利用电子邮件转移窃取的公司资料占所有信息窃取的八成以上。很多企业不装软驱、光驱、USB 接口，却没有办法避免员工通过电子邮件的窃取信息，相比之下，以上方法显得有些幼稚、可笑。14、 隐藏分区 长期窃取公司资料必备手法 长期在公司内搜集资料，用来出售或保留，总是件危险的事情。自己的电脑总是不免被别人使用，发现电脑里有不该有的东西怎么行。于是隐藏在硬盘分区就成了最佳选择，本来有 C、D、E 三个虚拟分区，可以把 E 隐藏起来，只有自己可以访问。当然，如果遇到行家，合计一下所有磁盘的总空间，可就一定露馅了。15、 私人电脑大量窃取资料常用手段 压缩软件的作用毕竟是有限的，如果把自己的笔记本电脑拿到单位来，连上局域网，只要半小时，就是有 1 个 G 的文件也可以轻松带走。16、 会议记录被忽视的公司机密 秘书往往把会议记录看得很平常，他们不知道一次高层的会议记录对于竞争对手意味着什么，公司里经常可以看见有人把会议记录当成废纸丢来丢去，任由公司最新的战略信息在企业的任何角落出现。17、未被采纳的策划案放弃也是一种选择 策划人员知道被采纳的策划是公司机密，去往往不知道被放弃的策划也是公司机密。有时还会对客户或媒体谈起，而竞争对手可以轻松判断：你没有做这些，就一定选择做了那些！18、客户你的机密只是盟友的谈资 经常可以在网络上看到著名咨询公司的客户提案，这些精心制作的 PPT，凝聚了咨询公司团队的汗水和无数个不眠之夜，在一些信用较差的客户手里可能只是一些随意传播的谈资。19、招聘活动 你的公司竟然在招聘总监？ 在招聘过程中，成熟的企业不会把用人的单位登在一张广告里，因为那无异于告诉你的竞争对手：刚刚发生过人力震荡，人力匮乏。20、招标前两分钟最后的底价总是在最后 “出炉” 如果投标的底价内部公开越早，出现泄露的风险越大，在招标开始前两分钟，面对关掉手机的参会者，可以公布底价了！21、解聘后半小时不要给他最后的机会 如果被解雇的员工是今天才得到这个消息，那么，不要让他再回到他的电脑旁。半个小时的时间，刚好可以让他收拾自己的用品，和老同事做简短的告别，天下没有不散的筵席，半小时足够了，为了离职员工的清白，更为了信息安全。22、入职后一星期新人在第一个星期里收集的资料是平时的 5 倍 只有在这一个星期里，他是随时准备离开的，他时刻处在疯狂的拷贝和传送状态，提防你的新员工，无论你多么欣赏他。23、合作后半个月竞争对手窃取情报的惯用手法是：假冒客户 在初次合作的半个月里，你对信息安全的谨慎只能表明企业做事的严谨，可以赢得大部分客户的谅解和尊敬。除非，他是你的竞争对手。24、离职后 30 天危险来自公司以外 一般情况下，一个为企业服务半年以上的员工，离职后 30 日之内会和公司现有员工保持频繁的联系，并且对公司的资料和状况表现出极度的热情。如果是被限时离开，那么，在离职 30 天内通过老同事窃取公司信息的可能性就更大。25、明确对外提案原则能不留东西的就不给打印稿，能不给电子档的就尽量给打印稿，能用电子书就不用通用格式。26、保密协议 无论作用大小，和员工签定清晰的保密协议还是必要的 无规矩不成方圆，明确什么是对的，人们才可以杜绝错的。保密协议的内容越详细越好，如果对方心胸坦白，自然会欣然同意。27、责任分解 明确每个人对相关信息的安全责任 所有的机密文件如果出现泄露，可以根据规定找到责任人，追究是次要的，相互监督和防范才是责任分解的最终目的。28、设立信息级别对公司的机密文件进行级别划分 比如合同、客户交往、股东情况列为一级，确定机密传播的范围，让所有人了解信息的传播界限，避免因为对信息的不了解而导致的信息安全事故。29、异地保存 别把鸡蛋放在同一个篮子里 所有备份资料尽量做到异地保存，避免因为重大事故（如：火灾、地震、战争等）对企业信息带来致命的打击。30、认为自己的企业在信息安全上无懈可击。信息安全瞬间毁灭篇我们必须承认，巨大的打击总是小概率事件，问题是当他发生的时候就是百分之百。0.1的几率足以致死也许在前一秒钟你还在制定公司第四季度的发展规划，而下一秒钟公司已经不复存在。无数世界著名公司就是在 911 那场恐怖袭击中随双子大厦一同葬身火海，许多公司即使没有瞬间致死，也因数据的全面破坏而损失惨重，从此一蹶不振。据统计，在那场灾难中，40的企业由于数据丢失，根本无法恢复工作。Gartner 公司的一项调查表明，在灾害之后，如果无法在 14 天内恢复信息作业，有 75%的公司业务会完全停顿，43%的公司再也无法重新开业，有 20%的企业在两年之内被迫宣告破产。中国财富曾随机调查了 50 家中国企业以及 30 家世界 500 强跨国公司的中国分部，97的企业表示，一旦出现诸如 911 这样的意外致使办公大楼倒塌，公司根本无法恢复业务。也许你会认为，911 这种事情离自己太过遥远，发生的几率为 0.1%。可是 911 之前，谁又能想到世界性标志建筑世贸大厦竟然在瞬间被毁灭；而纽约大停电之前，哪一个美国人能想到这一停居然是 20 多个小时 在中国生活的人认为这种现象不足为奇，而在纽约生活的人却是第一次遇到这样的事。911 使美国许多企业遭受重创，纽约大停电也给美国经济造成 300 亿美元的损失。没有防备就只有被动等死，在停电事故中，戴姆勒 克莱斯勒(Daimler Chrysler)在北美 32 家汽车与零件工厂有高达 23 家被迫暂停运转。而我们的企业，不是非要等到灾难降临的那一瞬间，才意识到应该未雨绸缪吧？也许我们可以从别人的经验中获得一点启示。纽约大停电启示录美国时间 2003 年 8 月 14 日下午四点，北美大部分地区突然停电。谁也没有料到这一停就是 20 多个小时，而 8 月 15 日恰好是麦格劳希尔公司旗下商业周刊的出版日麦格劳希尔公司全球首席信息官 Mostafa Mehrabani 在公司北京代表处接受本刊记者专访时，讲述了他们纽约大停电时的亲身经历。“当时情况非常紧急，许多人不断询问公司的业务情况，而且第二天商业周刊能否正常出版更是得到人们的普遍关注。而实际上，在停电瞬间，我们已经把出版业务全部转移到新泽西州，因为在那我们有一套备用设备。我们的电力系统很稳定，备用发电机可以在没有电的情况下持续工作好几天，所以我们的出版工作没有受到任何影响。第二天， 商业周刊如期出版。 ”麦格劳希尔公司作为信息服务提供商，保护信息安全成为头等重要之事。而同样视信息为生命的金融、证券公司也十分注意采取各种措施来保护数据。如电子交易商 Nasdaq 每周会对系统的防灾能力进行测试，他们甚至会切断正常的电力供应，来监测备用发电机是不是能及时启动。因此纽约大停电对他们几乎没有影响，在他们看来，不过是平时演练的一个真实版本而已。备份再备份意外事故不可避免，但是我们总是有措施将损失降到最低。除了要像麦格劳希尔公司、Nasdaq 公司有备用设施外，数据备份也是保护信息安全的重要手段。摩根斯坦利在 911发生后两天就恢复正常运营，因为它在新泽西州设有第二套全部股票证券商业文档资料数据和计算机服务器。麦格劳希尔公司除了新泽西州的数据中心，还在曼哈顿设立备份中心，甚至在大西洋对岸的伦敦都有自己的根据地。而曾在通用电气(General Electric Company)工作的员工说，GE 公司曾经从军队手中买下山洞作为数据备份中心，并把它卖给 IBM 等跨国企业。 “就算整个大楼被炸，我们还有山洞。 ”而美国政府非常重视数据备份工作，通常在一台计算机边上就有一个热备份，在离开这个楼的多少公里以外也要有备份，一般根据导弹的射程。在州的其他地方有一个，跨州、跨国都要有备份。据美国一家数据备份公司透露，在美国，备份的投入能占到整个国家安全投入的 40。专攻信息安全课题的中科院高能物理所许榕生教授在谈到多中心多备份时说道：“我们国家除了银行以外，许多行业像国家外贸、化工等，信息中心都是北京一个点，然后向各个省各个地区辐射。那么一个关键部分坏了，修复的时间就要很长。国家在信息化建设上投入很多钱，当初都觉得北京中心的格局好，而没有从安全角度来考虑。后来才提出多中心概念，要在北京、上海、广州分别设立中心，3 个地区可以随时切换，听说现在国内有一家银行做到了。 ”对于中小企业来说，出于成本考虑建立一个数据备份中心并不是最恰当的解决方案，但在离自己电脑一段距离的地方做一个数据备份，花费的成本几乎为零，而许多企业尚没有这种意识，直到一场意外的雷击摧毁了公司 CEO 的电脑为止。信息块：麦格劳希尔公司旗下有三大主营业务。 商业周刊为全世界客户提供信息资讯，标准普尔通过资信评级、独立投资信息、分析服务、公司评估及价值分析而成为全球投资界权威，麦克劳希尔教育出版公司则是美国最大的出版商。作为全球信息服务供应商，麦格劳希尔视信息为公司重要的资产。首次来华的 Mehrabani先生在接受中国财富独家专访时不断强调，保卫信息安全要从全世界范围内着眼。在企业越来越重视信息安全的今天，除了数据备份，数据恢复业务也蓬勃发展起来。在美国还有这样的公司，专门从 911 废墟里挖出烧焦的碎片，帮助企业恢复里面的信息。信息安全商业间谍篇使你疲倦的不是远方的群山，而是你鞋里的一粒石子。让企业恐惧的不是强大的对手而是自己的商业机密变成了对方手里的底牌，机密到底是怎样泄漏的？小心 10%的不忠实雇员在众多的公司安全威胁因素中，10的不忠实雇员给企业带来的震荡是管理者们最担忧的。很多身份设置为“管理者”的 E-mail 用户，都收到了一份兜售奥美 (Ogilvy)全套创意计划的邮件，价格为 6000 元，并且许多人已经购买了这套资料。也就在奥美事件发生的同时，关注神州数码(DigitalChina)管理制度的经理人们，可以很轻松的在互联网的某个论坛上，下载神州数码的年度战略规划文件。不忠实雇员窃取企业的机密已经不是什么鲜为人知的事情，但是，即使所有企业的领导者都知道防范不忠实雇员是必要的，他们也无法完全抵挡那些恶意偷盗的员工。 “如果真的有雇员恶意的窃取我们的机密，我们根本就没有方法来制止。 ”麦格劳希尔公司 CIO 说。他的这句话在另外一些制度严格的公司里也得到了证实，他们同样无法百分之百的防止员工窃取机密。2003 年 6 月底，微软公司的员工理查德格雷格被捕。他通过微软内部的购买系统，低价购买并转售了价值 1700 多万美元的软件，自己从中获取差额利润。中国企业同样存在类似的案件，去年 8 月份，电信方案提供商亚信的“中国网通运营维护支撑系统” 、 “北京电信公众 IP 网络集成工程规范书”等文档在中关村市场上被疯狂抢购，这其中任何一个方案都价值千万。亚信公司首席执行官兼总裁张醒生先生也表示,这起事故很有可能是因为公司或者合作伙伴对文档疏于管理，最终导致了内部员工泄露机密。他离职的时候带走了什么？对于企业来讲，那些即将离职的员工是极度危险的。因为不论出于什么原因，他们都希望能够为自己以后的工作获取必要的资源。 “实际上，离职员工通过各种手段从原公司拿走一些资料已经成为一种习惯，当然这些资料只是方便以后工作，而不是直接用来出售。 ”一位离职员工很坦然的说。“我们的雇员可以在下班之后申请加班两小时，两小时后他们会去刷门卡，让电脑系统显示此人已经离开。但是实际上，员工却可以通过通向卫生间的那道不锁的门出入公司，而不留下在公司超时逗留的证据。于是，他们会以最快的速度从同事的电脑上找到自己所需要的资料，并且放到共享中不易被人发现的文件夹内，第二天就可以大大方方的带走了。 ”这位离职员工毫不避讳的讲到。有些员工为了在应聘时博得新雇主的喜爱，总是很积极的回答雇主的每一个问题，而其中有许多问题都是新雇主为了获取竞争对手的资料故意设置的。与那些只是做一些小偷小摸的员工相比，那些因不满而离开公司的职员更加可怕，同样是2003 年，可口可乐公司前雇员马休惠特利控告公司有质量问题和舞弊行为，导致美国联邦检察官展开对可口可乐的调查。在硬性规定上围追堵截员工的犯罪行为2003 年 8 月，可口可乐奥运新包装的保密机制是值得中国企业学习的。在计划进行之前，可口可乐公司与了解设计方案秘密的北京奥组委签订了保密协议，要求合作伙伴不可以透露任何有关新包装的事宜。与此同时，制罐厂也采取了严格的防泄密措施。 “空罐被黑色胶布封起来，制罐厂 24 小时都有专人把守，只有 30 名工人加班参与生产；在运输时，空罐被放在了上锁的全密封货柜车内，拿着仅有的一把钥匙的人并不随车走。这就从硬性的规定上防止员工泄密。“可口可乐驻北京对外事务部负责人翟梅说。而微软，西门子(Siemens) 等公司则是从硬件设备上防止员工拷贝公司资料，因为根据级别区分，他们大部分的员工电脑是不能安装软驱和移动硬盘接口的。这在跨国公司内是非常普遍的做法。另外，IBM 公司规定每个员工只有三次查阅同一文档的机会，并且这三次查看的时间，地点，原因都会被严格的记录下来。当然，从可口可乐新包装中我们也知道，签订严格的保密协议是防止企业机密泄漏的最便于操作的方法之一。对于即将离职的员工，跨国公司的普遍做法是在通知员工离职前便冻结员工在公司的所有权限。这一点，联想今年 3 月份的裁员就显得非常专业。在离职员工知道自己被解聘之前，公司便封掉了他在联想局域网上的 ID,员工就不能进入公司的网络获取任何资料。“企业安全三分靠技术，七分靠管理，制定严格并且易于操作的管理制度是减少安全问题的基础。 ”诺基亚企业解决方案部中国区技术部经理王磊先生说。 “对于 Juniper 来说，通过协议从组织结构上明确每一个员工的职责和权力是最重要的，而我们公司与雇员每年都会签一份长达二三十页的协议。 ”刚刚从 Netscreen 加入 Juniper 团队的王平先生说。任何一个细节都可以让你无意间泄漏公司机密保护一块价值 1000 万的硬盘的同时，请注意有人在搜集你的废弃文件调研公司对企业安全的要求应该是普通公司所不能比拟的，因为那些容易丢失的调研数据就是他们的核心资产。而在中国的调研公司中，这些调研数据通常被存储在一块普通硬盘上。于是公司的管理者几乎把所有的精力都集中在保护这块硬盘上。大陆排名仅次于央视索福瑞的新生代数据公司的核心资产就是一块购买价值为 1 万元的存储器，但是它至少代表了新生代 1000 万的资产。于是，公司总裁每天的任务就是保护这块硬盘，而且事实证明，在总裁的保护下，它确实很安全。但是，2003 年，另一著名调研公司前雇员窃取公司与某合作伙伴回扣合同的事件让所有的调研公司都开始认识到，自己在保护一块 1000 万硬盘的同时，要随时注意是否有人在搜集公司的废弃文件。在较真的调研圈子中，公司都有一个不成文的规定，就是员工必须积极回收每一张废弃的打印文件，并且进行再利用。在外人看来，这是一个非常环保而且节约成本的规定。业内一家著名的调研公司前雇员却“巧妙”的利用了这项规定。这位可怕的前雇员并没有通过什么高端的科技来窃取公司的资料，他只是不断的搜集公司管理人员废弃的打印文件，而且终于让他发现了那份合同和其他机密的销售数据。于是，他便带着这些机密文件自己开了一家新的调研公司。请克制“大嘴巴”雇员的说话欲望企业领导者无意间泄漏公司机密对企业造成的伤害也是不可估量，因为毕竟他们所掌握的信息比普通雇员要多许多。2004 年 2 月 18 日上午，某媒体披露了神州数码财报中的部分数据。但是按照证监会规定，有关财报的所有资料都