说起企业泄密,大家首先想到的可能是黑客攻击、内部员工拷贝文件、或者会议室被装窃听器。但有一个非常隐蔽、非常日常的泄密渠道,百分之九十的企业都没有注意到——那就是OA审批流程。
你以为OA就是个请假、报销、审批流程的工具?那你就低估了它里面藏着的商业秘密了。我来给你细说。
先说出差申请单。一张出差申请单里面有什么?出差目的地、出差的拜访对象、出差时间。如果你是销售总监去拜访一个重点客户,这张单子上清清楚楚地写着"目的地:深圳,拜访对象:某某公司CTO张总,出差时间:5月15日至5月17日"。同一条业务线的另一个同事在OA上看到了这条审批,可能随手记了一下,也可能随口在走廊上跟别的同事提了一句"张总下周要出差去深圳见某某公司"。而这句话一旦传到竞争对手耳朵里,人家就知道你们公司正在和哪个客户接触了。
再说报销单。报销单是OA系统里最容易被忽视的信息金矿。一张报销单上面有什么?请客吃饭的餐厅名称和金额、打车记录、差旅航班信息、购买了什么办公用品、招待了什么来访人员。你想想,如果竞争对手拿到了你们公司销售团队半年内的报销数据,他能分析出什么来?他能分析出哪些客户你们经常请客、哪些正在重点攻关、去拜访的频次是高还是低、你们对哪些客户采用了什么样的接待标准。这些信息组合起来,就是一份相当完整的客户关系网和销售策略地图。
还有采购审批。采购审批里面对应的采购物品、供应商名称、采购金额、合同起止时间,这些信息几乎等于把公司的供应链全盘托出。你采购了一批新型号的服务器设备,你的竞争对手就知道了你的算力规划方向。你签了一个云服务的年约合同,竞品就能推算出你的技术架构支出规模。更关键的是,你的供应商名单一旦暴露,竞品直接去联系你的供应商挖人或者挖技术,你防都防不住。
我有一个客户真实经历可以说说。有一家做制造业智能化的公司,内部OA系统没有做权限分级管理,全公司所有人——从前台到技术副总裁——都能在OA上看到所有审批单。结果有一个技术工程师离职了,他之前在OA上截取了一百多份采购审批单和报销单,带到了新东家那里。新东家根据这些信息,完全复刻了他们公司的供应商体系和采购成本结构,然后用更低的价格撬走了三个关键供应商。
这个案例的泄密链路是这么走的。第一步,OA系统权限管理过于宽松。很多公司觉得OA就是个内部工具,不需要太严格,结果就是大家想看什么审批都能看到。第二步,员工缺乏敏感信息意识。很多人不会意识到一张报销单上的餐厅名字和金额组合在一起能说明什么问题。第三步,OA系统本身缺乏信息脱敏和加密机制。审批单上的敏感信息直接以明文形式展示,截图就能带走。第四步,离职员工带走大量日常数据,这些数据在入职新公司后就变成了商业情报。
那解决方案是什么?其实不复杂。第一,OA系统的权限要做细,不是所有审批单都需要全员可见。报销单只有财务和直属上级能看到,采购审批只有采购部门和相关业务线的负责人能看到,出差申请只有同团队和行政能看到。第二,在OA审批单中,涉及到客户名称、供应商名称、金额等敏感字段,可以引入水印防截图机制,截图上自动带上查看者的工号和姓名。第三,离职交接时要做敏感数据清理,同时定期审计OA系统的操作日志,看有没有大规模批量查看审批单的异常行为。把每一天都被看到的东西管住了,就是保卫企业资产。
