对于大多数员工来说,安全是事后才想到的——他们只想在需要的时间和地点访问所需的数据,并完成工作。但是,大多数安全措施会降低数据的可用性。
例如,访问控制列表阻止用户访问信息,并阻止他们知道和理解数据甚至存在。加密通常会破坏实时协作和搜索——组织对此无能为力。搜索通过索引信息来工作,因此使其再次可用是违反直觉的,因为它首先破坏了保护数据的整个目的。此外,依靠员工管理密钥就像要求员工为每个网站设置不同的密码——他们只是不这样做。
那么,在数据安全方面,组织如何找到适当的平衡点?以下是帮助组织应对这一挑战的三个技巧:
1. 利用员工参与安全的意愿——好消息是大多数员工都希望参与公司的安全计划——如果它不干扰他们完成工作的能力。这是确保您的员工在数据安全实践方面都在同一页面上的第一步。安全培训计划帮助员工了解公司的安全政策,以便他们做出更好、更明智的决定。此外,使贵公司的安全政策透明化可以让员工了解他们是否遵守政策或法规。它还使他们能够就可用性等可以改进的领域提供反馈。
2. 将一些安全权力交到员工手中——组织需要在让员工做出数据保护决策和始终自动化保护之间找到微妙地平衡。例如,如果员工需要通过电子邮件向组织外部发送敏感文件,则此数据安全流程应完全自动化,以确保应用适当的保护措施。员工可以声称知道哪些规则适用于哪些数据,但最终还是会犯错误。这是一个不应冒险泄露敏感信息的领域。
但是,员工在将标签和分类应用于他们认为包含敏感信息的文档时,可以得到更多的自由。自动化可用于确保始终保护最敏感的数据,而如果认为有必要,用户可以选择将分类标签应用于不太敏感的数据信息。
3. 确保用户知道他们正在参与安全 - 提高员工对正在进行的数据安全实践的认识是关键。这与给员工一些权力是一致的,因为如果你要给员工一个选择,请确保有有限数量的选择,然后与他们所在的用户会面。例如,使用提供有关应用程序保护和文档分类的可视化指标的工具可以帮助提醒员工注意数据安全实践,并让他们有机会更积极地思考选项,以确保它是最佳选项。它还可以帮助提醒他们正确的安全做法。
遵循这三种策略不仅可以帮助您的组织遵守数据安全实践,还可以确保您的员工接受教育、授权并了解您的公司需要遵守的实践。此外,对于加密等领域,组织应使用工具确保企业范围内的加密策略易于遵守,并且加密不会导致组织无法访问自己的数据。
组织还应为其员工管理密钥,并使用为员工提供成功和安全地导航数据所需的灵活性和安全性的工具。最后,对您的安全实践和对这些实践的期望保持透明无疑将有助于员工成为安全管家,同时也限制您的组织面临的风险。