離開公司的員工絕大部分是誠實正直、遵紀守法的企業(yè)公民。但是你永遠不知道何時某個員工可能因與公司交惡而走人，隨后回過頭來企圖闖入貴企業(yè)的系統(tǒng)。

　　在如今，由于企業(yè)數(shù)據(jù)可能駐留在眾多地方：從云環(huán)境到員工帶到辦公場所的智能手機，保護公司資產(chǎn)、以免被前任員工破壞來得更加困難。

　　本文介紹保護企業(yè)數(shù)據(jù)、以免被前任員工破壞的幾個步驟。

　　取消為所有設備配置的資源

　　據(jù)普華永道會計師事務所風險保證業(yè)務部的Joe DiVito聲稱，取消配置的資源應該是保護數(shù)據(jù)方面采取的第一步。

　　DiVito說：“對許多企業(yè)來說，取消配置的資源并非易事。它們在網(wǎng)絡層面可能做得很好，但是應用程序?qū)用婵赡荛T戶大開。針對應用程序?qū)釉L問的管理往往是分散的，歸屬應用程序擁有者或業(yè)務部門。”

　　他補充說，公司需要落實一套流程，將解雇通知告知所有的應用程序擁有者。DiVito提醒，取消配置的資源可能會很棘手，如果訪問管理和相關(guān)的控制機制分散于中央IT部門和數(shù)據(jù)擁有者之間，尤為棘手。

　　他說：“設計和運作用戶資源配置控制機制存在一定的控制風險。企業(yè)要正確核計賦予員工的訪問權(quán)限。要確定誰擁有授權(quán)和日常訪問該數(shù)據(jù)的權(quán)限，并確保需要修改或撤銷訪問權(quán)限時，各有關(guān)方均通知到位。要管理這種風險，解決辦法往往不需要復雜的手段，只需要加強溝通就行。”

　　在Steelcase這家辦公家具公司，一款自定義的微軟.NET工具處理取消配置的資源這項任務。而IT部門與人力資源部門緊密協(xié)調(diào)。

　　據(jù)Steelcase公司CIO Bob Krestakos聲稱：“.NET工具使用盡可能多的標準API（應用編程接口）來聯(lián)系各個系統(tǒng)，禁用或刪除用戶帳戶。比如說，可以通過該應用軟件，暫停或刪除電子郵件帳戶，取消訪問我們活動目錄的權(quán)限，以及刪除訪問SharePoint的權(quán)限。同樣以這種方式管理訪問內(nèi)部社交媒體和產(chǎn)品開發(fā)系統(tǒng)的權(quán)限。”他補充說，除了消除產(chǎn)品開發(fā)部門的PTC產(chǎn)品資料庫外，這款.NET工具還消除了SAP系統(tǒng)的ID。

　　他補充說，此外，該應用軟件可以自動將電子郵件通知發(fā)送給用戶帳戶的管理員，創(chuàng)建審計跟蹤記錄。

　　Krestakos說：“.NET工具讓管理員在大型IT環(huán)境下很容易關(guān)閉訪問所有系統(tǒng)的權(quán)限。它讓為好幾個步驟實現(xiàn)了自動化。”他補充說，整個過程由人力資源部門操控。

　　Krestakos說：“有人離職或辭職時，特別是如果他們身處像企業(yè)戰(zhàn)略或產(chǎn)品開發(fā)這樣的數(shù)據(jù)敏感部門，我們可能會在他們離開之前就啟動取消配置的資源這個過程。在其他情況下，我們讓所在部門的經(jīng)理知道情況，我們保留帳戶，直到經(jīng)理說可以關(guān)閉這些帳戶。”

　　使用自動化工具

　　IDC公司的分析師Sally Hudson說：“員工不管出于什么原因離開公司后，這一信息應該立即自動由人力資源部門轉(zhuǎn)告IT部門，取消該員工訪問企業(yè)內(nèi)部所有帳戶的權(quán)限。目前這方面有許多成熟的用戶資源配置軟件。”

　　分析師們表示，此外，眾多現(xiàn)成的應用軟件有助于確保員工、尤其是高層員工離職后，無法訪問企業(yè)系統(tǒng)。這些軟件包括IBM、甲骨文、Quest軟件公司（現(xiàn)隸屬戴爾）和冠群的軟件，還包括Cyber-Ark和Xceedium等專業(yè)開發(fā)商的軟件，它們提供的特權(quán)身份管理（PIM）解決方案廣泛應用于《財富》2000強企業(yè)。

　　Hudson說：“現(xiàn)在還有制約與平衡手段：特權(quán)身份管理軟件可以確保被授予很大權(quán)限的前任員工（包括企業(yè)高管和系統(tǒng)管理員）無法利用之前很高的訪問權(quán)限和帳戶特權(quán)級別，在公司里面大搞破壞或胡作非為。”

　　一些人建議采取全面的方法來取消配置的資源。據(jù)Frost and Sullivan公司的分析師Michael Suby聲稱，要是不走全面的方法這條路，身份和訪問管理流程可能毫無成效。

　　他說：“數(shù)據(jù)的位置變得非常分散，很難保持監(jiān)管。你還需要對數(shù)據(jù)進行分段，這項工作是數(shù)據(jù)治理的一個環(huán)節(jié)。要是我所在企業(yè)有大量的員工信息，比如電話號碼、工資和人事記錄，我就要確保，這些信息單獨存儲在另一個系統(tǒng)中。而商業(yè)計劃和企業(yè)并購等信息封鎖起來，一般人訪問不到。針對這些信息的訪問需要加以管理。如果你事后再進行管理，就好比讓谷倉大門敞開著。”

　　IDC公司的Hudson補充說：“對所有大型企業(yè)而言，自動化證明流程應該是看管的一個基本方面，所有業(yè)務部門負責人證明誰按照企業(yè)內(nèi)部被分配的角色，可以訪問什么數(shù)據(jù)。過去這通過電子表格來手動完成，而現(xiàn)在有了自動化并更新這些輸入的軟件，一旦檢測到異常情況，就會自動發(fā)出警報。”

　　思科的IT部門也讓取消配置資源過程的大部分環(huán)節(jié)實現(xiàn)了自動化。思科IT移動服務高級經(jīng)理Brett Belding表示，一旦員工告知人力資源部門要走人，而且一經(jīng)人力資源部門確認，公司就會采取一系列措施，防止員工訪問企業(yè)數(shù)據(jù)。

　　他說：“通知人力資源部門后，會針對員工的數(shù)據(jù)訪問權(quán)采取一系列措施。決定離開的員工要交出企業(yè)筆記本電腦，也無法訪問AnyConnectVPN、我們的企業(yè)資源規(guī)劃（ERP）、人力資源系統(tǒng)以及之前可以訪問的其他每個系統(tǒng)。在不同的國家，時間長短不一，但通常是在離職前的最后一星期。比如說，我們提前關(guān)閉訪問VPN的權(quán)限。”

　　弗雷斯特研究公司的分析師AndrasCser補充道：“應用程序擁有者與人力資源部門一定要有融洽的關(guān)系。IT部門也要與監(jiān)管部門一起確保符合法規(guī)，無論是金融領域的《金融服務現(xiàn)代化法案》（GLBA）、醫(yī)療保健領域的《健康保險可攜性及責任性法案》（HIPAA），還是《薩班斯-奧克斯利法案》；后一項法案規(guī)定，作為一條最佳實踐，員工信息須由管理員保持30天內(nèi)可以訪問，以防需要審計。”

　　擦除/清除設備的數(shù)據(jù)

　　在自帶設備（BYOD）蔚然成風的環(huán)境下，離職員工的設備一般由IT部門清除設備上的數(shù)據(jù)，或者自行處理這項任務。但是在清除數(shù)據(jù)之前，IT人員必須知道設備上有什么數(shù)據(jù)。

　　普華永道的DiVito說：“企業(yè)需要確定實體資產(chǎn)上有什么數(shù)據(jù)，比如手機上的ID。但即便一些企業(yè)在這方面作了仔細檢查，還是很難知道什么數(shù)據(jù)應該擦除。受到監(jiān)管部門監(jiān)督的公司在這方面做得比較好。生產(chǎn)型企業(yè)就不是那么到位。”

　　Steelcase公司要求自帶設備的員工簽署一項協(xié)議，表明他們離開公司后，會清除設備上的數(shù)據(jù)。CIOKrestakos表示，公司在北美有3000個移動用戶，其中一半使用BYOD計劃，這一招已見成效。

　　“員工必須同意通過書面協(xié)議同意某些規(guī)定。我們沒有實施確保他們沒有保存企業(yè)數(shù)據(jù)的任何規(guī)定，也沒有對此進行監(jiān)控的解決方案，就只有員工簽署的協(xié)議。協(xié)議要求員工使用密碼保護手機，維護某種應用程序，讓他們得以遠程訪問及擦除內(nèi)容。”

　　正如在思科，人力資源部門也參與其中。他補充說：“員工離開公司后，他們要接受人力資源部門的離職面試，需要匆匆看一遍核對列表。人力資源部門收回發(fā)給某個員工的所有技術(shù)設備，提醒對方不得將企業(yè)數(shù)據(jù)留在任何個人設備上。”

　　留意云端

　　員工離職后，仍可以訪問云端會帶來棘手的問題，因為云是不受控制的渠道。Frost and Sullivan的Suby表示，在員工走人之前將政策落實到位可緩解整個過程。

　　“企業(yè)一定要有政策和程序，表明什么是經(jīng)過許可的網(wǎng)站；如果網(wǎng)站未經(jīng)許可，你就要加以阻止。你要確定如何阻止數(shù)據(jù)轉(zhuǎn)移到你一無所知的地方，比如Dropbox或另一家云服務提供商。”

　　在思科，內(nèi)部和外部云服務與其一系列移動應用程序聯(lián)系在一起。Belding表示，為了對付員工對云端數(shù)據(jù)做手腳，IT管理人員采取的辦法是，只發(fā)送應用程序的圖像，而不是實際數(shù)據(jù)。

　　他說：“我們的一系列移動應用程序中許多與云服務聯(lián)系在一起，無論是內(nèi)部云服務還是外部云服務。如果你想查看財務數(shù)據(jù)，下載的不是實際數(shù)據(jù)，而僅僅是圖像。我們稱之為比特與像素。針對云數(shù)據(jù)和移動數(shù)據(jù)，你只可以下載像素。那樣一來，設備上的數(shù)據(jù)越來越少。如果你在瀏覽器中編輯一個電子表格，那都是像素格式；當我關(guān)閉服務后，你就再也無法訪問。”

　　Steelcase對可以上傳到公司所用的Google Drive云的數(shù)據(jù)的類型進行了限制。企業(yè)戰(zhàn)略和產(chǎn)品開發(fā)數(shù)據(jù)屬于最重要的數(shù)據(jù)類型之一，這些數(shù)據(jù)不得存儲在Google Drive上。

　　Krestakos說：“公司告誡員工，他們在從事項目的敏感方面，需要采取防范措施，以保護信息。”