与我共事的一位经理坚持认为,公司应该花时间监视大型竞争公司。公司本身不允许通过电话或即时通讯泄露密码,因为我们的 jabber 即时通讯是加密的(至少我听说是这样),并且在公司服务器/机器上运行。
这到底是真是假,还是他(以及公司里的一些人)只是疑神疑鬼?
答案1
是也不是。确实存在有人窥探他人业务的情况。也存在有人仅通过社交工程手段获取公司机密的情况。
如果公司内的每个人都知道您只通过公司内部的加密电子邮件或递交装有密码的信封来透露密码,那么任何试图通过社交工程手段获取您访问权限的人都会遇到更大的麻烦。
他们不能直接打电话说“我是 Bertie。你知道我去度假了”(公司关于准确传达外出信息的政策提供了这一信息)“我想快速检查一下这个小玩意,但我的远程访问密码似乎已过期。你能重置密码并告诉我新的密码吗?”
主要是因为他们必须说“对不起,伯蒂,你知道你必须从我们最近的办公室领取密码,并使用公司身份证进行身份验证”。
IM 也是如此。您能否从聊天窗口准确判断 IM 对话的另一端在哪里以及该端实际在场的是谁?如果您不能,那么泄露敏感信息就会面临风险(尽管风险很小),即您正在交谈的人可能不是您想象中的人。
当然,总是需要在便利性和安全性之间取得平衡。通过电话和 IM 会话泄露密码可能足够方便(并且足够频繁),以至于它超过了安全隐患。我无法告诉你是否是这种情况。
答案2
不管这位经理是对是错,都需要在表现得好像自己是正确的和不阻碍业务进展之间找到一个良好的平衡点。
顺便说一句,我讨厌用“偏执”这个词来描述安全的商业行为。除非预防措施相对于要解决的风险确实过分,否则谨慎对待公司和客户信息就没有什么“偏执”可言了。
请记住,有人可能不仅试图“窃取”未来秘密项目的商业机密,还试图窃取内部价格表和客户详细信息(对于想要削弱您的竞争对手很有用)。
还要考虑犯罪分子可能很想从保护不力、未加密的 CRM 数据库中窃取客户详细信息列表(包括信用卡号),每个人都知道应该更新,但没有人抽出时间去更新。后一个例子确实经常发生,值得真正关注。
在我看来,您在问题中概述的预防措施绝对不是安全“偏执狂”的证据。我想说,这些是任何认真保护自身利益和责任以及客户利益和责任的企业理所当然应该采取的最低标准。
答案3
我不确定密码是如何通过手机泄露的。它永远不会以明文形式存储在任何地方,而且任何人都不应该知道别人的密码。
但是,你可以雇佣专门从事企业情报的公司来监视其他公司。他们不一定邪恶到试图入侵竞争对手,但情报足以让你了解新产品、现有产品等。当然,公司中也有黑帽黑客会更进一步,探查竞争对手的安全漏洞等。
在当今这个敏捷开发时代,模仿竞争对手并编写出足以赢得客户或至少可以出售产品的软件只需要几个月而不是几年的时间。在其他 IT 行业,竞争优势很难保持。
看看苹果和其他公司为了在新产品准备好之前不向公众发布而做出的努力。
口不择言,船就会沉。
答案4
老式的翻垃圾箱方式仍然很流行,而且如果组织没有把办公室里的所有纸张都粉碎掉的话,这种做法仍然可以提供有用的信息。
尽管许多公司都发布了反对尾随的政策声明,但尾随在安全入口处仍是一种常见的做法。
吸烟区仍然存在,而且仅仅因为在公司吸烟区附近徘徊的那个人穿着思科衬衫,并不意味着他就是一个正在吸烟休息的合法供应商。