一个在软件公司做高层的朋友跟我说过一件让他肠子都悔青了的事。他们公司每年都会搞一次战略规划会,几十个核心管理人员关在一个会议室里,花两三天时间讨论下一年的发展方向、产品路线图和市场策略。讨论的内容都在白板上写得满满的。
那次会议结束以后,会议室还没来得及收拾,白板上的内容完全没有擦掉。很多框架图、产品规划、资源分配方案、关键目标数字,都还在白板上挂着。按说应该散会后就擦掉,但那天大家都急着去赶下一个会议,没人管这事。
下午的时候,IT外包公司的一个人来做服务器的季度巡检。这个人是长期合作的外包公司的技术员,负责定期检查机房的服务器状态。他在机房里干完活以后,路过那间会议室,看到门开着,白板上写满了东西。他停下来看了一眼,虽然他不是软件公司的员工,但对行业信息很敏感,一看就知道这是战略规划的内容。
他左右看了看走廊没人,就掏出了手机,把白板上的内容从各个角度拍了一遍。拍完以后他若无其事地走出会议室,关上门,继续做他的工作。
泄密链路是这样的。第一,会议室的保洁和信息清理制度没有落地,会议结束以后没人负责及时擦白板。第二,IT外包人员在公司里活动区域很广,有正当理由出现在很多楼层,没人会觉得他出现在那儿有什么问题。第三,他跟一家竞品公司的技术总监是朋友,拍了以后顺手就发过去了。
那家竞品公司拿到了这份规划以后,准确知道了对方未来一年的产品路线图和市场重点,提前做了布局。这家软件公司在接下来的一年里吃尽了苦头,每一次新产品发布都被对手提前预判,市场份额持续被蚕食。
后来他们是怎么知道的?是有一次在行业招聘会上,竞品公司的一个项目经理喝多了,跟别人吹牛的时候说到他们早就知道对方的计划。消息传回来以后,他们花了大半年时间才查到泄密的源头。但因为外包公司的技术员不是正式员工,而且拍摄行为不涉及暴力破坏监控,证据收集非常困难。
我觉得这个案例非常典型。软件公司的战略规划和产品路线图是经营决策的核心机密,但这些信息往往在会议结束后的一段时间里处于不设防的状态。白板上的内容没有及时清理,会议室的垃圾桶里还有打印的草稿,这些都可能成为泄密的渠道。外包人员虽然不在你的组织架构里,但他们活动范围广、进出自由,恰恰是最容易被忽视的信息安全风险点。会议室应该在每次会议结束后安排专人检查,确保白板擦干净、草稿纸碎掉、投影内容退出。外包人员的权限也要严格控制,不该去的地方坚决不能去。
