安全漏洞不仅仅是技术问题，也是人的问题。

　　若问及公司哪个部门需对数据安全负责，十有八九会得到“IT”这个回答。但专家指出，IT不应该独自担起这个责任，更好的安全需要与人力资源(HR)紧密合作。

　　一个明显的例子，来自于今年2月26日美国联邦存款保险公司(FDIC)的一起数据泄露事件。当时一位即将离职的员工非故意地下载了4.4万条客户记录到U盘上，这些记录中包括了个人身份识别信息(PII)。

　　官方称，幸运的是，未造成明显损失。该数据泄露发生在周五，公司的数据遗失保护软件在接下来的周一检测到了这起事件，FDIC立即联系离职雇员，而她也在第二天交回了数据。

　　她同时签署了一份宣誓书，陈述自己并未利用或扩散过这些信息。FDIC指出，该前雇员有权访问这些数据。她只是无权将任何信息带回家。

　　这事儿无独有偶。《华尔街日报》报道，1个月前FDIC就报告了之前8个月里的7起类似数据泄露事件，全部源于即将离职雇员将数据带走，威胁到16万美国人的个人身份识别信息(PII)。

　　那么，IT和HR之间更紧密的协作真的能更好地避免此类泄露事件吗?专家的意见并不统一。

　　尽管“人”本身的问题已十分明显，且几十年来人类本身一直是安全链中所谓的“最弱一环”，大部分安全意识培训却是由“IT”而不是HR来做的。

　　保护数据，知道数据存储位置，了解人员权限分配——也就是“身份及访问管理”(IAM)，也是IT的活儿。甚至连提前数月检测员工是否有离职意向行为的软件，也是归IT负责，而不是HR。

　　不过，CyberSpones创始人兼CEO约瑟夫·鲁米斯称，“IT和HR之间保持紧密联系总是不错的实践。”

　　任何时候，只要涉及人类行为，HR都应该参与进来。如果出现失败，很大可能是由于“糟糕的过程”。公司员工流动，人才需求和文化改变过程中，所有信息通常都会随着前任IT管理员的离职而遗失。这可称之为“IT纸牌屋”现象，随着人的来去，状况起伏不定。

　　而跟踪雇员的去留转职，正是HR的工作范围。“任何时候，只要涉及人类行为，HR都应该参与进来。”

　　艾拉·温可勒，Secure Mentem总裁，认为HR应该在人员即将离职时知会IT。HR在保证雇员恰当离职上有着非常具体的目的。

　　查尔斯·崔，Guidance Software 产品推广经理，也持相同看法。他认为，虽然有数据遗失防护(DLP)技术注意着数据动向，由于过高的误报率阻碍了有效业务操作，这些技术通常都会被弃用。

　　“恰当地教导雇员‘工作期间一切成果，在法律意义上讲，都归公司’，是HR的责任。”

　　因此，HR在员工即将离职，甚至离职是预定好的善意的情况下，也要通知IT，以便这些员工的行为能被更密切地监视，也就显得特别重要了。至少在美国，工作期间一切成果归公司而不是个，HR有责任将这一点恰当地告诉员工。

　　丹纳·希波科夫，AvePoint首席合规与风险官，认为HR和IT应该在员工培训和监管两方面都是“联合合作伙伴”——尤其是那些即将转出公司的员工。

　　至少，公司应该执行政策，保证员工离职前删除的数据都被审查通过，他们对存放客户数据的系统只有被监管的有限的访问权。

　　“你需要对公司野餐的相片，也应用与员工利益信息保护同等级的安全协议来保护吗?”

　　特雷弗·霍松，Wombat Security Technologies 首席技术官，觉得HR需要与IT紧密协调以在员工离职时做好沟通。如果离职员工具有安全风险，要确保遵循‘离职’检查表进行审查。对企业内部的员工流动，强大的IAM能力能让公司得以审计用户权力与权限。

　　而史蒂夫·康拉德，MediaPro常务董事，则认为很多数据泄露，包括FDIC那些，都是多重问题的结果——其中就有培训和数据分类问题。

　　“不同种类的数据似乎有所交集，FDIC雇员不容易识别出PII处于风险中。这起泄露事件本可以通过更有效的安全意识培训来消弭于无形的。HR绝对可以帮助IT设计更好的培训体验，产出更好的整体效果。”

　　公司里所有部门都需要共同工作这一点，没人有异议，HR和IT之间尤其如此。但有些专家认为，对于FDIC这样的数据泄露，更多的责任归在IT一方。

　　约纳坦·斯特里姆-阿密特，Cybereason共同创始人兼CTO，称FDIC数据泄露事件中带走4.4万客户记录的前雇员没有恶意简直幸运。

　　但他也指出，由于她有足够权限访问那些数据，任何假扮她的人也有可能访问到那些数据。

　　而抓住冒用真实员工身份进入公司的入侵者的责任，明显落在IT身上。“公司企业在数据级和终端级都有管控，并增强总体策略，是必须的。”

　　更好的数据管控——知道数据是什么、在哪里，并恰当进行分类，有助于公司企业跟踪并保护数据，是普遍认可的意见。而这些，是IT的职能。

　　正如希波科夫所言，“公司野餐照片，难道也用保护客户关键基础设施设计或建造信息、信用卡信息或雇员利益信息相同等级的保护协议?”

　　但她同时也相信，“HR应该在确保雇员不被无意赋予太多数据访问权上起到关键作用。”

　　“作为总原则，雇员应只被赋予能够进行自己工作的最小访问权。”然而，不幸的是，被工作淹没的IT管理员倾向于反其道而行之，赋予用户过多权限，以便自身不被几乎不可能承受的工作负担压垮。

　　底线是，每个部门都能帮助其他部门——IAM名义上是IT职能的情况下，HR更有可能清楚雇员权限是否应该修改。两者应紧密结合，确保权限级别与员工位置和职责同步。很多时候，一旦权限被赋予，就再也不更改或撤销了。这种做法显然增加了公司的风险。

　　最后，员工培训应该是一项经常性工作和协作性工作。培训工作不可以一年仅一次，训过就完，而应该贯穿在整个公司文化之中。

　　康拉德称，好的培训应包括市场营销团队和IT以及HR团队——因为培训目标是将良好安全实践“卖”给员工。

　　“IT应与市场营销合作，学习怎样倾销牢固的带来良好效果的信息。大多数意识培训都质量低劣，能起效果简直是天方夜谭。”

　　事实上，世界上最好的技术也抗不过粗心或无能的员工。“如果人没被培训好，坏事就接踵而来了。”

　　责任编辑：DJ编辑