如何寻求管理层对执行安全政策的支持

问:我们公司最近发生了一次安全事件,一名员工明知故犯,将敏感数据下载到个人USB记忆棒中。我建议公司开除这名员工,但管理层却决定放他一马。我如何向管理层说明,这一处理决定可能会对未来的安全政策执行造成极其严重的影响呢?

答:很遗憾,这个问题是当今许多公司的安全专业人士和主管面临的众多挑战之一。这一特殊问题往往层出不穷:违反USB安全政策的员工同时也深受公司器重,由于其具有的专业知识或丰富经验,其他人通常难以轻易取而代之。

下面是我以前寻求管理层的支持时曾经采用过的一些方法,以资借鉴。首先,你可以尝试向你的直接上级(CIO、CFO或安全总监)汇报,使其明白此类事件的当前后果和长期影响。在汇报中,既要尽量避免使用太情绪化的词语(例如,你刚才使用的“极其严重”一词可能过于夸张),但又要明确指出,这一处理决定可能不符合公司的最佳利益。因为其他员工可能会认为,这种处理暗示了某些安全政策可以不执行。

其次,你可以建议管理层考虑在该员工的人力资源档案中装入一份文件,说明他或她曾经违反公司的安全政策(包括这一事件发生的日期、时间、证明人等),并受到某种警告(最好有书面记录)。

再次,你可以以此次安全事件为契机,开展内部宣传活动(例如通过广播电子邮件、海报等),提醒全体员工,数据保护对于每个人——员工、客户、供应商以及整个公司都非常重要,从而防止此类安全事件再次发生。

然而,在内部宣传活动中,注意不要引用任何诸如“处理直至开除”之类的处罚规则。由于公司最近发生的这一安全事件,更多对执行安全政策持怀疑态度的员工将会不相信这类消息。

最后,制定一份“完全备选方案(Cover Your Alternatives,CYA)”文件,其内容应包括该安全事件的总结文档、你与你的直接上级的对话、防止此类事件再次发生所采取的行动等。CYA文件记录了安全事件发生时公司所采取的行动以及相关的资料,在将来对此次安全事件进行分析或审查时,可以充分证明安全事件管理的有效性。