信息安全管理中,技术和管理哪个更重要?

管理 🎧 朗读

企业管理的108个问题 · 第99问

上一问我们聊了”数据驱动决策”(第98问)——核心结论:数据文化不是买来的,是做出来的。

但”数据驱动”做起来之后——一个更棘手的问题立刻浮出水面:

你把数据都打通了、系统都上了、报表都自动生成了——那这些数据,谁来保护?

这就是今天要聊的:信息安全。

而且信息安全这个领域有个”灵魂拷问”——到底是靠技术防住黑客,还是靠管理管住人?


一、先讲一个真实的故事

2023年,某中型制造企业——上了ERP、CRM、还有自研的生产管理系统——数据化做得挺不错。

有一天——财务总监发现账上少了300万。

查了一圈——不是黑客攻击——不是系统漏洞——是一个离职三个月的采购经理——离职时公司没及时注销他的系统账号——他用旧密码登录——修改了供应商付款账户信息——把钱转走了。

技术层面:系统没问题,防火墙没被攻破,加密没被破解。

管理层面:离职账号3个月没注销。

这个案例——不是孤例。根据Verizon《2024年数据泄露调查报告》——68%的数据泄露事件——涉及人为因素——包括社会工程攻击、内部人员失误、权限管理疏忽。

所以问题来了——


二、技术和管理的”分工”是什么?

如果把信息安全比作一座城堡——

维度 技术 管理
比喻 城墙、护城河、瞭望塔 巡逻制度、出入登记、岗哨轮换
核心职能 挡住外部攻击 防止内部出问题
典型手段 防火墙、加密、入侵检测、漏洞扫描 权限制度、培训、审计、应急预案
失效后果 被黑客入侵、数据被窃取 内部泄露、误操作、合规违规
投入特征 一次性投入大——持续性维护成本低 持续投入——见效慢——但”悔之晚矣”时才觉得值

一句话结论:技术是”门锁”——管理是”钥匙保管制度”。

你花十万块装了全世界最安全的门锁——但钥匙随便放——等于没装。


三、为什么很多企业”重技术、轻管理”?

这不是个别现象——几乎是一种”组织惯性”——背后有几个原因:

原因一:技术的”可见性”更高

  • 买了一台防火墙——摆在那儿——老板看得见——“嗯,我们信息安全有投入了”
  • 花80万上了一个安全系统——年终总结可以写进去——“我们完成了信息安全体系升级”
  • 但”制定了一份《离职员工账号注销流程》”——写进年终总结——没人觉得这是什么”成果”

管理成果——天然”不可见”——所以容易被忽略。

原因二:”不出事=没问题”的错觉

这是信息安全最大的心理陷阱。

场景:

公司五年没出过安全事故→管理者觉得”我们信息安全做得挺好”。

但真相可能是:

  • 离职账号一直没注销——只是恰好没出问题
  • 员工U盘随便插——只是恰好没中勒索病毒
  • 数据库没做备份——只是恰好服务器还没坏

信息安全管理的悲剧在于——你永远不知道”侥幸”能持续多久。

等你”知道”的那一天——就是出事的这一天。

原因三:管理需要”全员参与”——技术可以”外包”

  • 防火墙可以买——加密系统可以部署——渗透测试可以找第三方
  • 但”每个员工都养成信息安全习惯”——外包不了。

而”全员的信息安全意识”——恰恰是信息安全最薄弱也最重要的一环。

钓鱼邮件测试数据:

某公司做了内部钓鱼邮件演练——向全员发送伪装成”HR通知”的钓鱼邮件——结果:

  • 第一次测试:43%的员工点击了链接
  • 经过两次培训后:仍有18%点击

——这就是”管理”的难处:技术可以一次部署到位——人的行为——需要反复训练——而且永远有”漏网之鱼”。


四、一个”技术和管理的结合”实战框架

信息安全管理——不是”二选一”——而是”两手抓”——但管理的分量往往被低估。

以下是”三层防护”模型:

第一层:技术防线——“不让坏人进来”

这是底线——该花的钱——不能省。

必做的技术措施:

措施 作用 投入级别
网络防火墙 + 入侵检测 阻止外部攻击 中等
数据加密(传输 + 存储) 数据即使泄露也无法读取 低-中
多因素认证(MFA) 防止密码被盗用 低(甚至免费)
终端安全(杀毒/EDR) 防止员工设备成为突破口
定期漏洞扫描和渗透测试 主动发现弱点 中-高(按需)
数据备份(3-2-1原则) 勒索病毒的最后防线

3-2-1备份原则:3份数据副本、2种不同介质、1份离线(或隔离)存储。

这些该做——但做完不等于”安全了”——因为突破口往往不在这里。

第二层:制度防线——“不让内部出问题”

这是管理的主战场——也是”性价比最高”的安全投入。

五项核心制度:

① 账号全生命周期管理

  • 入职当天开通——离职当天注销——岗位变动当天调整权限
  • 红线:离职账号超过24小时未注销——视为安全事件——追责到人

② 最小权限原则(Least Privilege)

  • 每个人只拥有”完成本职工作所需的最小权限”
  • 财务能看到所有客户数据吗?——不需要就不给
  • 普通员工能导出全公司通讯录吗?——不能

③ 特权账号”双人制”管理

  • 系统管理员、数据库管理员——这些”超级权限”——不能一个人说了算
  • 关键操作——需要双人审批——需要操作日志——需要定期审计

④ 数据分级分类制度

  • 把公司的数据分成:公开级、内部级、机密级、绝密级
  • 不同级别——不同的”访问规则”和”传输规则”
  • 举例:机密级数据——禁止通过微信/个人邮箱传输

⑤ 第三方供应商安全管理

  • 供应商能访问你的系统吗?——签保密协议了吗?——对方的安全标准达标吗?
  • 很多数据泄露——不是”自己人”干的——是”供应商”干的

这些——不需要花多少钱——需要的是”下定决心去做”。

第三层:文化防线——“让每个人成为安全防线”

技术是”锁”——制度是”规定”——文化是”习惯”。

具体做法:

  • 每月一次”信息安全5分钟” ——不是长篇大论培训——是每次会议开头5分钟——分享一个安全小贴士
  • 每季度一次钓鱼邮件演练 ——不通报个人——只通报部门统计——让大家有”集体荣誉感”
  • 每年一次”信息安全周” ——全员参与——案例分享——互动答题——氛围到了
  • 建立”安全事件上报无惩罚”机制 ——员工误点了钓鱼链接——主动上报——不处罚——反而表扬

最后一个最重要。

如果员工担心”点错链接会被骂”——他就不上报——然后潜在的入侵者——就潜伏下来了。

安全文化 = 透明 + 信任 + 持续教育


五、安全投入的”二八法则”

如果你预算有限——想把钱花在刀刃上:

优先级 投入项 类型 理由
🔴 第一优先 数据备份 技术 勒索病毒的”后悔药”——没有备份——出事就是灭顶之灾
🔴 第一优先 账号管理和权限管控 管理 成本极低——见效最快——防止内部泄露
🟡 第二优先 多因素认证(MFA) 技术 成本低——大幅降低账号被盗风险
🟡 第二优先 员工安全意识培训 管理 性价比最高的安全投入
🟢 第三优先 防火墙/入侵检测 技术 基础防御——该有
🟢 第三优先 渗透测试和漏洞扫描 技术+管理 定期做——主动发现问题

发现规律了吗?——成本最低的几项——全是”管理”。


六、最后的结论

回到标题的问题:技术和管理——哪个更重要?

我的回答是——

如果非要”二选一”——管理更重要。

因为:

  • 最好的防火墙——管不住一个把密码贴在显示器上的员工
  • 最先进的入侵检测系统——检测不出一个离职没注销的账号
  • 花再多钱做渗透测试——挡不住一个在咖啡厅用公共WiFi处理机密文件的习惯

技术是”武器”——管理是”使用武器的人”。

但更好的答案——当然是——两者都要。

技术 + 管理 + 文化——三层防护——缺一不可。

信息安全——不是IT部门的事——是CEO应该亲自过问的事。

因为——数据是公司的血液——信息安全——就是公司的免疫系统。

免疫系统出问题——不是某个器官的问题——是全身的问题。

今天就可以做的一件事:让IT部门拉一份”最近90天未登录的账号清单”——看看有多少是应该注销却没注销的。

——这件事不花钱——但可能比花10万买防火墙——更能保护你的公司。 🔒


明日预告:第100问 —— 企业文化是”长出来”的还是”设计出来”的?

本文作者:Samjoe Yang

本文链接: https://need.uno/099-xin-xi-an-quan-guan-li-zhong-ji-shu-he-guan-li-na-ge-geng-zhong-yao/

版权声明:本作品采用 知识共享署名-相同方式共享 4.0 国际许可协议 进行许可。

评论