企业管理的108个问题 · 第99问
上一问我们聊了”数据驱动决策”(第98问)——核心结论:数据文化不是买来的,是做出来的。
但”数据驱动”做起来之后——一个更棘手的问题立刻浮出水面:
你把数据都打通了、系统都上了、报表都自动生成了——那这些数据,谁来保护?
这就是今天要聊的:信息安全。
而且信息安全这个领域有个”灵魂拷问”——到底是靠技术防住黑客,还是靠管理管住人?
一、先讲一个真实的故事
2023年,某中型制造企业——上了ERP、CRM、还有自研的生产管理系统——数据化做得挺不错。
有一天——财务总监发现账上少了300万。
查了一圈——不是黑客攻击——不是系统漏洞——是一个离职三个月的采购经理——离职时公司没及时注销他的系统账号——他用旧密码登录——修改了供应商付款账户信息——把钱转走了。
技术层面:系统没问题,防火墙没被攻破,加密没被破解。
管理层面:离职账号3个月没注销。
这个案例——不是孤例。根据Verizon《2024年数据泄露调查报告》——68%的数据泄露事件——涉及人为因素——包括社会工程攻击、内部人员失误、权限管理疏忽。
所以问题来了——
二、技术和管理的”分工”是什么?
如果把信息安全比作一座城堡——
| 维度 | 技术 | 管理 |
|---|---|---|
| 比喻 | 城墙、护城河、瞭望塔 | 巡逻制度、出入登记、岗哨轮换 |
| 核心职能 | 挡住外部攻击 | 防止内部出问题 |
| 典型手段 | 防火墙、加密、入侵检测、漏洞扫描 | 权限制度、培训、审计、应急预案 |
| 失效后果 | 被黑客入侵、数据被窃取 | 内部泄露、误操作、合规违规 |
| 投入特征 | 一次性投入大——持续性维护成本低 | 持续投入——见效慢——但”悔之晚矣”时才觉得值 |
一句话结论:技术是”门锁”——管理是”钥匙保管制度”。
你花十万块装了全世界最安全的门锁——但钥匙随便放——等于没装。
三、为什么很多企业”重技术、轻管理”?
这不是个别现象——几乎是一种”组织惯性”——背后有几个原因:
原因一:技术的”可见性”更高
- 买了一台防火墙——摆在那儿——老板看得见——“嗯,我们信息安全有投入了”
- 花80万上了一个安全系统——年终总结可以写进去——“我们完成了信息安全体系升级”
- 但”制定了一份《离职员工账号注销流程》”——写进年终总结——没人觉得这是什么”成果”
管理成果——天然”不可见”——所以容易被忽略。
原因二:”不出事=没问题”的错觉
这是信息安全最大的心理陷阱。
场景:
公司五年没出过安全事故→管理者觉得”我们信息安全做得挺好”。
但真相可能是:
- 离职账号一直没注销——只是恰好没出问题
- 员工U盘随便插——只是恰好没中勒索病毒
- 数据库没做备份——只是恰好服务器还没坏
信息安全管理的悲剧在于——你永远不知道”侥幸”能持续多久。
等你”知道”的那一天——就是出事的这一天。
原因三:管理需要”全员参与”——技术可以”外包”
- 防火墙可以买——加密系统可以部署——渗透测试可以找第三方
- 但”每个员工都养成信息安全习惯”——外包不了。
而”全员的信息安全意识”——恰恰是信息安全最薄弱也最重要的一环。
钓鱼邮件测试数据:
某公司做了内部钓鱼邮件演练——向全员发送伪装成”HR通知”的钓鱼邮件——结果:
- 第一次测试:43%的员工点击了链接
- 经过两次培训后:仍有18%点击
——这就是”管理”的难处:技术可以一次部署到位——人的行为——需要反复训练——而且永远有”漏网之鱼”。
四、一个”技术和管理的结合”实战框架
信息安全管理——不是”二选一”——而是”两手抓”——但管理的分量往往被低估。
以下是”三层防护”模型:
第一层:技术防线——“不让坏人进来”
这是底线——该花的钱——不能省。
必做的技术措施:
| 措施 | 作用 | 投入级别 |
|---|---|---|
| 网络防火墙 + 入侵检测 | 阻止外部攻击 | 中等 |
| 数据加密(传输 + 存储) | 数据即使泄露也无法读取 | 低-中 |
| 多因素认证(MFA) | 防止密码被盗用 | 低(甚至免费) |
| 终端安全(杀毒/EDR) | 防止员工设备成为突破口 | 中 |
| 定期漏洞扫描和渗透测试 | 主动发现弱点 | 中-高(按需) |
| 数据备份(3-2-1原则) | 勒索病毒的最后防线 | 中 |
3-2-1备份原则:3份数据副本、2种不同介质、1份离线(或隔离)存储。
这些该做——但做完不等于”安全了”——因为突破口往往不在这里。
第二层:制度防线——“不让内部出问题”
这是管理的主战场——也是”性价比最高”的安全投入。
五项核心制度:
① 账号全生命周期管理
- 入职当天开通——离职当天注销——岗位变动当天调整权限
- 红线:离职账号超过24小时未注销——视为安全事件——追责到人
② 最小权限原则(Least Privilege)
- 每个人只拥有”完成本职工作所需的最小权限”
- 财务能看到所有客户数据吗?——不需要就不给
- 普通员工能导出全公司通讯录吗?——不能
③ 特权账号”双人制”管理
- 系统管理员、数据库管理员——这些”超级权限”——不能一个人说了算
- 关键操作——需要双人审批——需要操作日志——需要定期审计
④ 数据分级分类制度
- 把公司的数据分成:公开级、内部级、机密级、绝密级
- 不同级别——不同的”访问规则”和”传输规则”
- 举例:机密级数据——禁止通过微信/个人邮箱传输
⑤ 第三方供应商安全管理
- 供应商能访问你的系统吗?——签保密协议了吗?——对方的安全标准达标吗?
- 很多数据泄露——不是”自己人”干的——是”供应商”干的
这些——不需要花多少钱——需要的是”下定决心去做”。
第三层:文化防线——“让每个人成为安全防线”
技术是”锁”——制度是”规定”——文化是”习惯”。
具体做法:
- 每月一次”信息安全5分钟” ——不是长篇大论培训——是每次会议开头5分钟——分享一个安全小贴士
- 每季度一次钓鱼邮件演练 ——不通报个人——只通报部门统计——让大家有”集体荣誉感”
- 每年一次”信息安全周” ——全员参与——案例分享——互动答题——氛围到了
- 建立”安全事件上报无惩罚”机制 ——员工误点了钓鱼链接——主动上报——不处罚——反而表扬
最后一个最重要。
如果员工担心”点错链接会被骂”——他就不上报——然后潜在的入侵者——就潜伏下来了。
安全文化 = 透明 + 信任 + 持续教育
五、安全投入的”二八法则”
如果你预算有限——想把钱花在刀刃上:
| 优先级 | 投入项 | 类型 | 理由 |
|---|---|---|---|
| 🔴 第一优先 | 数据备份 | 技术 | 勒索病毒的”后悔药”——没有备份——出事就是灭顶之灾 |
| 🔴 第一优先 | 账号管理和权限管控 | 管理 | 成本极低——见效最快——防止内部泄露 |
| 🟡 第二优先 | 多因素认证(MFA) | 技术 | 成本低——大幅降低账号被盗风险 |
| 🟡 第二优先 | 员工安全意识培训 | 管理 | 性价比最高的安全投入 |
| 🟢 第三优先 | 防火墙/入侵检测 | 技术 | 基础防御——该有 |
| 🟢 第三优先 | 渗透测试和漏洞扫描 | 技术+管理 | 定期做——主动发现问题 |
发现规律了吗?——成本最低的几项——全是”管理”。
六、最后的结论
回到标题的问题:技术和管理——哪个更重要?
我的回答是——
如果非要”二选一”——管理更重要。
因为:
- 最好的防火墙——管不住一个把密码贴在显示器上的员工
- 最先进的入侵检测系统——检测不出一个离职没注销的账号
- 花再多钱做渗透测试——挡不住一个在咖啡厅用公共WiFi处理机密文件的习惯
技术是”武器”——管理是”使用武器的人”。
但更好的答案——当然是——两者都要。
技术 + 管理 + 文化——三层防护——缺一不可。
信息安全——不是IT部门的事——是CEO应该亲自过问的事。
因为——数据是公司的血液——信息安全——就是公司的免疫系统。
免疫系统出问题——不是某个器官的问题——是全身的问题。
今天就可以做的一件事:让IT部门拉一份”最近90天未登录的账号清单”——看看有多少是应该注销却没注销的。
——这件事不花钱——但可能比花10万买防火墙——更能保护你的公司。 🔒
明日预告:第100问 —— 企业文化是”长出来”的还是”设计出来”的?
本文作者:Samjoe Yang
本文链接: https://need.uno/099-xin-xi-an-quan-guan-li-zhong-ji-shu-he-guan-li-na-ge-geng-zhong-yao/
版权声明:本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。
评论