【IT168 评论】信息平台正在改变工作场景信息共享的方式,但这不应该冒着数据泄露的风险。
你需要让同事检查一项任务,你最可能的交流方式是什么?打电话?写一封电子邮件吗?还是直接走向他们的办公桌?
如果您与大多数企业一样,那消息传递平台已经成为您团队内部通信的主要渠道。据报道,Slack和微软团队等平台的日活跃用户分别为1200万和1300万。这些平台促进了团队成员之间的实时协作,并且与电子邮件不同,它是一种随意、简短并能立即得到响应的交流方式。此外,这些平台允许用户共享媒体、文件和各种其他内容。它们还使员工能够将外部用户、供应商、承包商和客户添加到网络中,从而将通信范围扩大到企业之外。
本质上,这些平台的即时和双向通信体验正在推动它们的发展,并深刻地改变了企业内外共享信息的方式。当然,随着任何新的办公场所工具的采用,以及任何时候公司信息的传递,都有一个负面因素需要考虑:安全漏洞的风险。
以下是使用企业消息传递平台时需要考虑的一些主要安全因素:
1. 加密
数据加密是确保各方安全地交换信息和防止数据泄漏的关键要求。在为您的公司选择消息传递平台之前,务必确保它至少支持TLS 256位加密。还要注意,有些平台在传输数据时支持加密,而有些则更进一步,将这种加密扩展到存储。请注意您的平台能够加密的范围。
2. 基于角色的访问
为了防止无意或未经授权的机密信息共享,组织选择的消息传递平台需要支持基于角色的访问。该平台的功能应该允许根据员工的工作功能和角色判定提供或不提供企业数据。管理人员应该能够以细粒度的方式管理这种访问,从而严格控制公司内部的许可级别。
3.限制文件操作
管理员还应该能够限制用户(或某些用户)下载通过平台共享的文档。一些平台提供了允许用户以只读模式查看文档的功能,从而禁用了他们的共享选项。用户也可以被限制使用屏幕截图,以防止敏感信息以这种方式被共享。
4. 身份验证
与大多数安全协议一样,强大的身份验证机制对于保护未经授权的访问至关重要。生物特征认证和双因素认证比基于密码的认证安全得多。此外,对于那些不用担心记密码,只需使用指纹、面部识别或类似功能就可以登录的员工来说,这使得登录体验更加顺畅。
5. 日志记录
在消息的整个生命周期中进行日志记录,是确保管理员能够通过识别发送者和交换的信息来跟踪任何事件或安全漏洞的关键需求。企业还必须实现单点登录,以便跨多个系统轻松识别员工。这样做还有一个额外的好处,那就是再次为员工创造无摩擦的用户体验。
6. DLP政策
应该实现数据丢失防护(DLP)策略,以限制用户在组织网络之外共享敏感或关键的业务信息。这需要设置规则来帮助识别敏感内容并防止用户共享这些信息。所选的消息传递平台应该允许这种功能。这个政策也应该以一种明确的方式提前与员工分享。
7. 漏洞审核
最后,企业应该确保其消息传递平台提供定期安全审计报告。平台应该对针对OWASP和WASC等组织定义的风险的任何漏洞进行频繁的渗透测试。他们的发现应该很容易被他们的客户看到。
将目光投向以办公桌为基础的员工之外
尽管Slack和Teams在企业工作场所的办公桌型员工中很受欢迎,但零售、制造、酒店等传统行业对这些平台的接受程度有限。这主要是因为这些行业有大量的非办公桌员工,而这些平台并不能为经常使用移动设备作为主要交流方式的外勤员工提供最佳体验。因此,这些员工中,大多数会通过公共消息应用程序进行团队内的操作沟通,包括共享内容和文件。
在使用公共消息传递通道时出现的主要问题是,企业基本上无法控制如何共享信息,从而将组织置于巨大的安全风险中。相反,这些组织应该通过采用专门为非办公桌工作人员设计的通信平台来保护他们的数据,这些通信平台提供了上面提到的相同的企业控制和安全特性。
把安全放在第一位
虽然消息传递平台的便捷性和易用性可以极大地提高工作效率,但是这些优势不应该以安全性为代价。对于企业来说,在为其工作场景选择平台时,仔细考虑所有上述因素是很重要的。