我一直想知道大型在线软件公司,特别是那些基于单一大型产品的公司,如谷歌、Facebook、雅虎等,如何处理解雇员工的风险。任何对内部安全有足够了解的员工都可能利用这些知识对公司进行报复。
显然,任何不能信任其员工的公司都存在比简单的安全担忧更深层次的问题,但在经历了各种场景之后,谷歌、Facebook、雅虎似乎不得不将员工知道的内容限制在他们需要知道的范围内。编写协议以在服务器之间发送数据的员工显然需要一些危险信息来完成他的工作,但他不需要了解外部安全性。从事异常检测的员工显然参与了安全工作,但不需要知道如何处理通过异常检测的请求。换句话说,这些公司似乎对员工采用了与他们在代码中采用的相同原则:最小特权原则和没有潜在的单点故障。
例如,谷歌是否将员工知道的内容限制在他们需要知道的范围内?这是行业标准吗?
大公司遵循的基本规则与流行的信息安全标准(例如 ISO27k)的规则/建议没有太大区别:
例如 - 一个团队负责托管/系统配置,另一个团队负责产品开发,第三个团队负责存储/数据库等。
总体而言,没有任何人能够以可能导致整个过程受到损害的方式进行访问。然而,由于显而易见的原因,仅此措施是不够的(在 Ed Snowden 的情况下没有帮助)。
这是另一项措施,它本身无助于完全消除前雇员或现任雇员损害信息完整性、机密性或可用性的风险(同样,在 Ed Snowden 的情况下也无济于事)。
拥有良好的资产管理计划——知道谁可以访问什么。清楚了解谁可以在下一阶段获得帮助。
帐户生命周期 - 有在员工离开时运行的流程,确保他们的凭据被撤销。
加密!并拥有完善的密钥管理流程。
保护知识产权(IP)——尽管软件专利是值得商榷的,而且律师不是我想要依赖的人,但保护公司的知识产权肯定会有所帮助(专利、注册或以其他方式受版权保护)。
背景调查。小企业通常负担不起适当的背景调查,但大企业肯定会在这个部门做功课。
运行数据泄露预防计划(解决方案、程序和监控的组合)。
这些只是一些基本知识,可以限制员工(或前员工)利用他们的内幕知识可能造成的任何潜在损害风险。你不能抹去员工知道的东西(例如系统架构、协议等),但是通常可以访问城堡钥匙的人不仅仅是开始他们的职业生涯,所以任何可能使他们低于-值得信赖的人会在他们以前的一些就业周期或试用期间出现。
没有任何组织可以完全消除风险,但遵循常识的方法,再加上严格遵守信息安全标准,从长远来看可以为您省去很多麻烦。
关于大公司内部的具体措施,每一个都有些不同,因为它们的文化、治理和总体风险偏好存在很大差异。没有灵丹妙药,他们仍然需要一个良好的事件管理流程来应对他们错过的任何事情:-)