安全漏洞不僅僅是技術(shù)問題，也是人的問題。

若問及公司哪個部門需對數(shù)據(jù)安全負(fù)責(zé)，十有八九會得到“IT”這個回答。但專家指出，IT不應(yīng)該獨(dú)自擔(dān)起這個責(zé)任，更好的安全需要與人力資源(HR)緊密合作。

一個明顯的例子，來自于今年2月26日美國聯(lián)邦存款保險公司(FDIC)的一起數(shù)據(jù)泄露事件。當(dāng)時一位即將離職的員工非故意地下載了4.4萬條客戶記錄到U盤上，這些記錄中包括了個人身份識別信息(PII)。

官方稱，幸運(yùn)的是，未造成明顯損失。該數(shù)據(jù)泄露發(fā)生在周五，公司的數(shù)據(jù)遺失保護(hù)軟件在接下來的周一檢測到了這起事件，F(xiàn)DIC立即聯(lián)系離職雇員，而她也在第二天交回了數(shù)據(jù)。

她同時簽署了一份宣誓書，陳述自己并未利用或擴(kuò)散過這些信息。FDIC指出，該前雇員有權(quán)訪問這些數(shù)據(jù)。她只是無權(quán)將任何信息帶回家。

這事兒無獨(dú)有偶?！度A爾街日報》報道，1個月前FDIC就報告了之前8個月里的7起類似數(shù)據(jù)泄露事件，全部源于即將離職雇員將數(shù)據(jù)帶走，威脅到16萬美國人的個人身份識別信息(PII)。

那么，IT和HR之間更緊密的協(xié)作真的能更好地避免此類泄露事件嗎？專家的意見并不統(tǒng)一。

盡管“人”本身的問題已十分明顯，且?guī)资陙砣祟惐旧硪恢笔前踩溨兴^的“最弱一環(huán)”，大部分安全意識培訓(xùn)卻是由“IT”而不是HR來做的。

保護(hù)數(shù)據(jù)，知道數(shù)據(jù)存儲位置，了解人員權(quán)限分配——也就是“身份及訪問管理”(IAM)，也是IT的活兒。甚至連提前數(shù)月檢測員工是否有離職意向行為的軟件，也是歸IT負(fù)責(zé)，而不是HR。

不過，CyberSpones創(chuàng)始人兼CEO約瑟夫·魯米斯稱，“IT和HR之間保持緊密聯(lián)系總是不錯的實(shí)踐。”

“

任何時候，只要涉及人類行為，HR都應(yīng)該參與進(jìn)來。

如果出現(xiàn)失敗，很大可能是由于“糟糕的過程”。公司員工流動，人才需求和文化改變過程中，所有信息通常都會隨著前任IT管理員的離職而遺失。這可稱之為“IT紙牌屋”現(xiàn)象，隨著人的來去，狀況起伏不定。

而跟蹤雇員的去留轉(zhuǎn)職，正是HR的工作范圍。“任何時候，只要涉及人類行為，HR都應(yīng)該參與進(jìn)來。”

艾拉·溫可勒，Secure Mentem總裁，認(rèn)為HR應(yīng)該在人員即將離職時知會IT。HR在保證雇員恰當(dāng)離職上有著非常具體的目的。

查爾斯·崔，Guidance Software 產(chǎn)品推廣經(jīng)理，也持相同看法。他認(rèn)為，雖然有數(shù)據(jù)遺失防護(hù)(DLP)技術(shù)注意著數(shù)據(jù)動向，由于過高的誤報率阻礙了有效業(yè)務(wù)操作，這些技術(shù)通常都會被棄用。

“恰當(dāng)?shù)亟虒?dǎo)雇員‘工作期間一切成果，在法律意義上講，都?xì)w公司’，是HR的責(zé)任。”

因此，HR在員工即將離職，甚至離職是預(yù)定好的善意的情況下，也要通知IT，以便這些員工的行為能被更密切地監(jiān)視，也就顯得特別重要了。至少在美國，工作期間一切成果歸公司而不是個，HR有責(zé)任將這一點(diǎn)恰當(dāng)?shù)馗嬖V員工。

丹納·希波科夫，AvePoint首席合規(guī)與風(fēng)險官，認(rèn)為HR和IT應(yīng)該在員工培訓(xùn)和監(jiān)管兩方面都是“聯(lián)合合作伙伴”——尤其是那些即將轉(zhuǎn)出公司的員工。

至少，公司應(yīng)該執(zhí)行政策，保證員工離職前刪除的數(shù)據(jù)都被審查通過，他們對存放客戶數(shù)據(jù)的系統(tǒng)只有被監(jiān)管的有限的訪問權(quán)。

“你需要對公司野餐的相片，也應(yīng)用與員工利益信息保護(hù)同等級的安全協(xié)議來保護(hù)嗎？”

特雷弗·霍松，Wombat Security Technologies 首席技術(shù)官，覺得HR需要與IT緊密協(xié)調(diào)以在員工離職時做好溝通。如果離職員工具有安全風(fēng)險，要確保遵循‘離職’檢查表進(jìn)行審查。對企業(yè)內(nèi)部的員工流動，強(qiáng)大的IAM能力能讓公司得以審計用戶權(quán)力與權(quán)限。

而史蒂夫·康拉德，MediaPro常務(wù)董事，則認(rèn)為很多數(shù)據(jù)泄露，包括FDIC那些，都是多重問題的結(jié)果——其中就有培訓(xùn)和數(shù)據(jù)分類問題。

“不同種類的數(shù)據(jù)似乎有所交集，F(xiàn)DIC雇員不容易識別出PII處于風(fēng)險中。這起泄露事件本可以通過更有效的安全意識培訓(xùn)來消弭于無形的。HR絕對可以幫助IT設(shè)計更好的培訓(xùn)體驗(yàn)，產(chǎn)出更好的整體效果。”

公司里所有部門都需要共同工作這一點(diǎn)，沒人有異議，HR和IT之間尤其如此。但有些專家認(rèn)為，對于FDIC這樣的數(shù)據(jù)泄露，更多的責(zé)任歸在IT一方。

約納坦·斯特里姆-阿密特，Cybereason共同創(chuàng)始人兼CTO，稱FDIC數(shù)據(jù)泄露事件中帶走4.4萬客戶記錄的前雇員沒有惡意簡直幸運(yùn)。

但他也指出，由于她有足夠權(quán)限訪問那些數(shù)據(jù)，任何假扮她的人也有可能訪問到那些數(shù)據(jù)。

而抓住冒用真實(shí)員工身份進(jìn)入公司的入侵者的責(zé)任，明顯落在IT身上。“公司企業(yè)在數(shù)據(jù)級和終端級都有管控，并增強(qiáng)總體策略，是必須的。”

更好的數(shù)據(jù)管控——知道數(shù)據(jù)是什么、在哪里，并恰當(dāng)進(jìn)行分類，有助于公司企業(yè)跟蹤并保護(hù)數(shù)據(jù)，是普遍認(rèn)可的意見。而這些，是IT的職能。

正如希波科夫所言，“公司野餐照片，難道也用保護(hù)客戶關(guān)鍵基礎(chǔ)設(shè)施設(shè)計或建造信息、信用卡信息或雇員利益信息相同等級的保護(hù)協(xié)議？”

但她同時也相信，“HR應(yīng)該在確保雇員不被無意賦予太多數(shù)據(jù)訪問權(quán)上起到關(guān)鍵作用。”

“作為總原則，雇員應(yīng)只被賦予能夠進(jìn)行自己工作的最小訪問權(quán)。”然而，不幸的是，被工作淹沒的IT管理員傾向于反其道而行之，賦予用戶過多權(quán)限，以便自身不被幾乎不可能承受的工作負(fù)擔(dān)壓垮。

底線是，每個部門都能幫助其他部門——IAM名義上是IT職能的情況下，HR更有可能清楚雇員權(quán)限是否應(yīng)該修改。兩者應(yīng)緊密結(jié)合，確保權(quán)限級別與員工位置和職責(zé)同步。很多時候，一旦權(quán)限被賦予，就再也不更改或撤銷了。這種做法顯然增加了公司的風(fēng)險。

最后，員工培訓(xùn)應(yīng)該是一項(xiàng)經(jīng)常性工作和協(xié)作性工作。培訓(xùn)工作不可以一年僅一次，訓(xùn)過就完，而應(yīng)該貫穿在整個公司文化之中。

康拉德稱，好的培訓(xùn)應(yīng)包括市場營銷團(tuán)隊(duì)和IT以及HR團(tuán)隊(duì)——因?yàn)榕嘤?xùn)目標(biāo)是將良好安全實(shí)踐“賣”給員工。

“IT應(yīng)與市場營銷合作，學(xué)習(xí)怎樣傾銷牢固的帶來良好效果的信息。大多數(shù)意識培訓(xùn)都質(zhì)量低劣，能起效果簡直是天方夜譚。”

事實(shí)上，世界上最好的技術(shù)也抗不過粗心或無能的員工。“如果人沒被培訓(xùn)好，壞事就接踵而來了。”