調查表明，許多公司因心懷不滿的前任員工大搞破壞而蒙受巨額損失。

離開公司的員工絕大部分是誠實正直、遵紀守法的企業公民。但是你永遠不知道何時某個員工可能因與公司交惡而走人，隨后回過頭來企圖闖入貴企業的系統。

在如今，由于企業數據可能駐留在眾多地方：從云環境到員工帶到辦公場所的智能手機，保護公司資產、以免被前任員工破壞來得更加困難。

本文介紹保護企業數據、以免被前任員工破壞的幾個步驟。

取消為所有設備配置的資源

據普華永道會計師事務所風險保證業務部的Joe DiVito聲稱，取消配置的資源應該是保護數據方面采取的第一步。

DiVito說：“對許多企業來說，取消配置的資源并非易事。它們在網絡層面可能做得很好，但是應用程序層面可能門戶大開。針對應用程序層訪問的管理往往是分散的，歸屬應用程序擁有者或業務部門。”

他補充說，公司需要落實一套流程，將解雇通知告知所有的應用程序擁有者。DiVito提醒，取消配置的資源可能會很棘手，如果訪問管理和相關的控制機制分散于中央IT部門和數據擁有者之間，尤為棘手。

他說：“設計和運作用戶資源配置控制機制存在一定的控制風險。企業要正確核計賦予員工的訪問權限。要確定誰擁有授權和日常訪問該數據的權限，并確保需要修改或撤銷訪問權限時，各有關方均通知到位。要管理這種風險，解決辦法往往不需要復雜的手段，只需要加強溝通就行。”

在Steelcase這家辦公家具公司，一款自定義的微軟.NET工具處理取消配置的資源這項任務。而IT部門與人力資源部門緊密協調。

據Steelcase公司CIO Bob Krestakos聲稱：“.NET工具使用盡可能多的標準API（應用編程接口）來聯系各個系統，禁用或刪除用戶帳戶。比如說，可以通過該應用軟件，暫停或刪除電子郵件帳戶，取消訪問我們活動目錄的權限，以及刪除訪問SharePoint的權限。同樣以這種方式管理訪問內部社交媒體和產品開發系統的權限。”他補充說，除了消除產品開發部門的PTC產品資料庫外，這款.NET工具還消除了SAP系統的ID。

他補充說，此外，該應用軟件可以自動將電子郵件通知發送給用戶帳戶的管理員，創建審計跟蹤記錄。

Krestakos說：“.NET工具讓管理員在大型IT環境下很容易關閉訪問所有系統的權限。它讓為好幾個步驟實現了自動化。”他補充說，整個過程由人力資源部門操控。

Krestakos說：“有人離職或辭職時，特別是如果他們身處像企業戰略或產品開發這樣的數據敏感部門，我們可能會在他們離開之前就啟動取消配置的資源這個過程。在其他情況下，我們讓所在部門的經理知道情況，我們保留帳戶，直到經理說可以關閉這些帳戶。”

使用自動化工具

IDC公司的分析師Sally Hudson說：“員工不管出于什么原因離開公司后，這一信息應該立即自動由人力資源部門轉告IT部門，取消該員工訪問企業內部所有帳戶的權限。目前這方面有許多成熟的用戶資源配置軟件。”

分析師們表示，此外，眾多現成的應用軟件有助于確保員工、尤其是高層員工離職后，無法訪問企業系統。這些軟件包括IBM、甲骨文、Quest軟件公司（現隸屬戴爾）和冠群的軟件，還包括Cyber-Ark和Xceedium等專業開發商的軟件，它們提供的特權身份管理（PIM）解決方案廣泛應用于《財富》2000強企業。

Hudson說：“現在還有制約與平衡手段：特權身份管理軟件可以確保被授予很大權限的前任員工（包括企業高管和系統管理員）無法利用之前很高的訪問權限和帳戶特權級別，在公司里面大搞破壞或胡作非為。”

一些人建議采取全面的方法來取消配置的資源。據Frost and Sullivan公司的分析師Michael Suby聲稱，要是不走全面的方法這條路，身份和訪問管理流程可能毫無成效。

他說：“數據的位置變得非常分散，很難保持監管。你還需要對數據進行分段，這項工作是數據治理的一個環節。要是我所在企業有大量的員工信息，比如電話號碼、工資和人事記錄，我就要確保，這些信息單獨存儲在另一個系統中。而商業計劃和企業并購等信息封鎖起來，一般人訪問不到。針對這些信息的訪問需要加以管理。如果你事后再進行管理，就好比讓谷倉大門敞開著。”

IDC公司的Hudson補充說：“對所有大型企業而言，自動化證明流程應該是看管的一個基本方面，所有業務部門負責人證明誰按照企業內部被分配的角色，可以訪問什么數據。過去這通過電子表格來手動完成，而現在有了自動化并更新這些輸入的軟件，一旦檢測到異常情況，就會自動發出警報。”

思科的IT部門也讓取消配置資源過程的大部分環節實現了自動化。思科IT移動服務高級經理Brett Belding表示，一旦員工告知人力資源部門要走人，而且一經人力資源部門確認，公司就會采取一系列措施，防止員工訪問企業數據。

他說：“通知人力資源部門后，會針對員工的數據訪問權采取一系列措施。決定離開的員工要交出企業筆記本電腦，也無法訪問AnyConnectVPN、我們的企業資源規劃（ERP）、人力資源系統以及之前可以訪問的其他每個系統。在不同的國家，時間長短不一，但通常是在離職前的最后一星期。比如說，我們提前關閉訪問VPN的權限。”

弗雷斯特研究公司的分析師AndrasCser補充道：“應用程序擁有者與人力資源部門一定要有融洽的關系。IT部門也要與監管部門一起確保符合法規，無論是金融領域的《金融服務現代化法案》（GLBA）、醫療保健領域的《健康保險可攜性及責任性法案》（HIPAA），還是《薩班斯-奧克斯利法案》；后一項法案規定，作為一條最佳實踐，員工信息須由管理員保持30天內可以訪問，以防需要審計。”

擦除/清除設備的數據

在自帶設備（BYOD）蔚然成風的環境下，離職員工的設備一般由IT部門清除設備上的數據，或者自行處理這項任務。但是在清除數據之前，IT人員必須知道設備上有什么數據。

普華永道的DiVito說：“企業需要確定實體資產上有什么數據，比如手機上的ID。但即便一些企業在這方面作了仔細檢查，還是很難知道什么數據應該擦除。受到監管部門監督的公司在這方面做得比較好。生產型企業就不是那么到位。”

Steelcase公司要求自帶設備的員工簽署一項協議，表明他們離開公司后，會清除設備上的數據。CIOKrestakos表示，公司在北美有3000個移動用戶，其中一半使用BYOD計劃，這一招已見成效。

“員工必須同意通過書面協議同意某些規定。我們沒有實施確保他們沒有保存企業數據的任何規定，也沒有對此進行監控的解決方案，就只有員工簽署的協議。協議要求員工使用密碼保護手機，維護某種應用程序，讓他們得以遠程訪問及擦除內容。”

正如在思科，人力資源部門也參與其中。他補充說：“員工離開公司后，他們要接受人力資源部門的離職面試，需要匆匆看一遍核對列表。人力資源部門收回發給某個員工的所有技術設備，提醒對方不得將企業數據留在任何個人設備上。”

留意云端

員工離職后，仍可以訪問云端會帶來棘手的問題，因為云是不受控制的渠道。Frost and Sullivan的Suby表示，在員工走人之前將政策落實到位可緩解整個過程。

“企業一定要有政策和程序，表明什么是經過許可的網站；如果網站未經許可，你就要加以阻止。你要確定如何阻止數據轉移到你一無所知的地方，比如Dropbox或另一家云服務提供商。”

在思科，內部和外部云服務與其一系列移動應用程序聯系在一起。Belding表示，為了對付員工對云端數據做手腳，IT管理人員采取的辦法是，只發送應用程序的圖像，而不是實際數據。

他說：“我們的一系列移動應用程序中許多與云服務聯系在一起，無論是內部云服務還是外部云服務。如果你想查看財務數據，下載的不是實際數據，而僅僅是圖像。我們稱之為比特與像素。針對云數據和移動數據，你只可以下載像素。那樣一來，設備上的數據越來越少。如果你在瀏覽器中編輯一個電子表格，那都是像素格式；當我關閉服務后，你就再也無法訪問。”

Steelcase對可以上傳到公司所用的Google Drive云的數據的類型進行了限制。企業戰略和產品開發數據屬于最重要的數據類型之一，這些數據不得存儲在Google Drive上。

Krestakos說：“公司告誡員工，他們在從事項目的敏感方面，需要采取防范措施，以保護信息。”

原文鏈接：http://www.networkworld.com/news/2013/092313-protect-data-273884.html