GUUCI事件与离职员工的风险管理

　　如果说黑客攻击考验的是企业全体员工的安全意识，那么内部员工的监守自盗则同时暴露出企业信息安全治理体系的缺陷

　　古驰GUCCI是世界知名服装品牌，作为意大利最大的时装集团，GUCCI集团的员工如今遍布全球，随之也建立起了时装业内领先的遍布全球的企业信息管理系统。但是2010年，GUCCI遭受了一次由离职员工导致严重的信息安全事件。

　　2010年5月，GUCCI美国分公司开除了一位IT工程师Sam Chihlung Yin，34岁的Yin由于心存不满，用一个不存在的雇员名字创建了一个虚假的VPN标志符，并诱骗在GUCCI的同事在6月激活，VPN允许他访问关键的IT服务。他于2010年11月12日进入了系统，永久性破坏了一些文件，删除了大量电子邮件，关闭了虚拟服务器，造成了20万美元的损失。如果被判有罪，Yin面临最高15年的徒刑。

　　事实上，GUCCI工程师的“反水”，并不属于最严重的内部员工导致的信息安全事件。如2008年初，“魔鬼交易员”Jerome Kerviel因未授权交易导致兴业银行（Societe Generale）损失近50亿欧元（70亿美元），几乎造成兴业银行在2008年濒临倒闭。同年7月，旧金山市一名认为受到不公正待遇的市政府网络管理员Terry Childs，关闭了自己管理的光线城域网路由器，并设置了一个超级复杂的管理密码，以此为要挟与所在城市讨价还价，严重影响了该市网络的正常使用，这是一起极端的来自组织内部攻击的网络安全案例。但GUCCI的案例揭示，如果管理不当，即使是离职很久的员工依然能对公司的信息网络造成威胁。

　　显然，简单删除离职员工的访问权限并不能完全防止他们进行破坏。由于工作的原因，这些员工熟悉组织的环境，即使离职，也能轻易给企业造成难以挽回的损失。

　　近期发布了国内第一份《中国企业员工信息安全意识调查报告》的专业咨询公司谷安天下总裁李华表示：离职员工的安全管理属于企业风险管理的一部分，企业在加强安全监管和控制之前，最好聘请专业公司对信息架构进行整体风险评估，并采取相应的预防改进措施。过去企业更多关注在信息安全技术上的投入，而忽视了另外两个更为重要的要素：人和流程。如果员工安全意识淡薄，信息安全管理流程不健全或者不能得到良好执行，再好的安全技术设施也无法避免事故的发生。国内信息安全治理方面的人才比较匮乏，企业应当通过培训业务来控制“人”自身带来的的风险，而通过聘请专业咨询公司来解决企业机制和流程的问题。