(本文首发于“刘润”公号,订阅“刘润”公号,和我一起洞察商业本质)
前段时间,某省政府文件的泄露问题,上了热搜。
这件事,现在还没有结论。到底是无心之失,还是蓄意为之,要等调查结果出来,才会真的知道。不要乱猜。但是,不管最终是谁的责任,大众对于信息安全的担忧情绪,已经再次上升。
有同学问我的看法。
我说,这件事我就不评价了,相信一定会追查到底。但是,与你分享一个观点:信息的可复制性,是一把双刃剑。
什么意思?
我举一个最典型的场景:协同办公。
这几年,很多企业都在学习如何使用工具,帮助他们远程办公,降低协作成本,提升工作效率,以应对疫情的反复。
而工具之所以能够实现高效的协同办公,很大程度上,是受益于信息的可复制性。Ctrl+C、Ctrl+V,一份文件副本就诞生了。右键、转发,信息就完成了一次传递。
同样的,由于这种信息的可复制性,谣言、机密也可以轻而易举地传递到千里之外。
而这几年参访的经历告诉我,有不少企业,尤其是中小企业,甚至从来没有注意过信息安全的问题。等到东窗事发,早就没办法追责了。
那怎么办?难道放弃好用的工具,放弃高效的协同办公吗?
也不至于。
其实,现在的协同办公工具,可以做到比传统的word、excel,甚至纸质的方式更加安全。
工具在提供“效率”功能的同时,配备了相应的“安全”功能。只是我们很少注意到信息安全的问题,也就不曾留意。
于是,我找了个机会,访谈了一下企业微信的同学。他们说,刚好,我们最近也在梳理企业微信的这些关乎信息安全的功能。
我们发现,这些功能所针对的场景,有很多很经典,也有些是我们自己都没想到的。
结合企业微信同学们的分享,我总结了7个典型场景,也是7个信息安全tips。
用上它们,希望能帮助创业者们做好信息管理,放宽心。
同时,也帮助你更加高效地进行协同办公。
与你分享。
我想想,从哪里开始呢?
就从,我最常接触的一种文件——文档开始吧。
对于一家企业而言,总有一些文档,是需要进行分门别类的管理的。
比如,记录着财务预算的文档,最好是只有财务部门的同事可看;记录着薪酬结构的文档,最好是只有HR部门的同事可看;至于一些记录着核心技术参数的文档,那是要用保险箱锁起来的。
而这些文档,又总会面对两种常见的问题。
第一种,误发。第二种,外传。
我一个一个来说。
误发,怎么办?我要是不小心把销售部门的文档,发送到全体员工群了,怎么办?
你可能会说,撤回消息,不就好了吗?
很对。但是,撤回消息的时限,一般只有两分钟。如果我发送完文档,就赶紧去睡觉了。甚至,我一发完,就上飞机了。怎么办?
让“群主”帮我撤回。
在企业微信的群聊中,撤回消息的时限,是24小时。而且,这个动作不一定非要发送者来做,群主或群管理员也可以代劳。
外传,怎么办?销售部门的小张,和财务部门的小王,以及隔壁公司的小李关系特别好,经常“分享”,怎么办?
有一种比较传统的方法是,在文档名称后面,加上“(请勿外传)”。在发送给相关同事的时候,再留上一句:千万别外传,千万别外传,千万别外传。
可是你知道,这份文档,到底有没有真的“别外传”,很多时候,你是不知道的。等到你在一个它不应该出现的地方再见到它,你甚至不知道,是谁把这份文档传出去了。
那,怎么办?
工具,可以做到确权。
什么叫确权?
现实生活中,房产证,股权证,就是确权。确认“所有权”是你的。
而在协同办公中,企业微信,就可以做到给在线文档确权。
也就是,确定文档的访问权限。
哪些是对外文档,外部人员和内部人员都能看?有关财务的,有关工资的,只开放给哪几个人?特殊文档,只给谁看?
同时,确定文档的操作权限。
哪些人,是只有“浏览”权限的?哪些人,是不仅可以浏览,还拥有“编辑”权限的?
而没有获得权限的人,就需要通过权限申请,才能访问文档。
因此,不管是误发还是外传,不相干的人即便是收到了文档,也是打不开的。
这就是确权。
确认好所有权、浏览权、编辑权,文档才能进行传递。
确权,做到了。
但是文档信息安全的保障,除了靠“权”,还要靠“责”。
为什么?
因为查阅文档,其实是一件挺麻烦的事。
比如,记录着公司销售状况的文档中,可能有成千上万个关键数据。而在海量的数据中,真正和我个人的具体工作高度相关的,可能只有那么几十个,甚至几个。
需要用到这些数据的时候,想不起来了,怎么办?
第一次,我可能还愿意打开文档,一页一页地翻找。
第二次,我就越翻越没耐心了。
第三次,要不,我干脆截个图吧。
再用到的时候,我直接去手机相册里找就好了。
就是这么简单的一个动作,我所需要的那一个数据、那一行文字,就连同“上下文”一起进入了我的手机。
看到这里,你可能想到了:能在外部疯传的,常常都不是文档,而是图片。
那,怎么办?你能给文档确权,总不能给我手机里的图片确权吧?
工具,可以做到确责。
什么叫确责?
合同上盖的章,协议上摁的手印,就是确责。确定“违约了是要负责的”。
也就是,给文档加上水印。
哪些文档,是高度保密,必须要加上水印再传阅的?哪些文档,是要印上“请勿传阅”的?哪些文档,甚至是要印上“访问者签名”的?
因为带着自己的水印,即便是出于便利性截了屏,也不敢随意把图片传出去。
这就是确责。
一张携带了水印的图片,就仿佛在说:你看看可以。要是传出去,那可是要负责的。
在线文档,在线文档,最便利的是什么?
当然是“在线”啊。
但是但是,你大概也发现了,不管是通过权限,还是水印来管理文档,都存在着一个bug。
那就是,每个人惯用的文档中,是存在着离线文档的。
就拿我们这家小破公司举例。我们公司的公众号编辑,目前有四位。但是,四位编辑的惯用文档,都不一样。其中一位,甚至是word的铁杆粉丝。
再比如,很多公司在企业宣讲、工作汇报、方案介绍的时候,都需要用到的ppt。许多制作ppt的同学,常常是熬到深夜。好不容易做完了,赶紧提交出去。这很正常。
但是,这些本地文档就这样轻而易举地绕过了“确权”和“确责”的过程。怎么办?
开启“文件保密模式”。
各种一直存放在本地的文件,比如word,比如ppt,都可以在传递过程中,通过企业微信的“文件保密模式”保护起来。
怎么保护?
如果需要二次转发,就算是转发到了微信里,收件人还是需要像查阅在线文档一样,先申请权限。否则,还是打不开。
一份文件被打开、被转发,都会留下痕迹。经历过多少次的转发,多少次的下载,有多少人拥有权限,拥有哪种权限,都能看得一清二楚。
换句话说,就是回到了“确权”和“确责”的流程。
对于一些高保密需求的企业来说,甚至还可以启用“禁止对外分享”选项。
这样,就能在源头上掐断。
当然,比起“传递”,我可能更建议你用“云端”来管理文件。
为什么?
我给你讲个故事吧。
今年的三月底到四月初,上海的同学们开始陆续地进入居家办公状态。有一位在媒体公司上班的Joyce同学和我说,润总,你知道吗,我们开始“逃离办公室”了。
Joyce说,事情就发生在我们园区。我们隔壁的办公楼,他们人很多,平常卫生间的资源是比较紧张的。
当时有一个老哥,就跑去了另一栋楼用卫生间。
结果,就在这个间隙,自己那栋楼被封了。他完全回不去了。
更悲催的是,电脑还卡在楼上啊。
这隔离通知下的,简直猝不及防。那天闹得真是,沸沸扬扬的一整个下午。
吓得这片区域还没被封的,赶紧搬上自己的笔记本电脑。有些做设计的同学,不仅要搬笔记本,搬硬盘,还有的搬主机,搬显示器,搬了一台,还有一台……
累着了,实在搬不动了,走一段就得停下来歇歇。
这件事真给我挺深刻的印象。
我们对于远程办公和协作,已经很熟悉了,因为我们的办公室、人员本来就分布得比较远,一个项目可能有好几个城市的团队一起参与。
这事,我们有经验。
如果资料不是存在本地电脑上,而是都上了“云端”,就不会出现这样慌乱的尴尬景象了。
确实,Joyce讲的这个故事,我也深有体会。文档都存在云端里,才能轻松地说回就回。
像我们公司的编辑同学,随时让居家办公,都面不改色心不跳,顺手背起小包,就和往常一样下班去了。
就因为文档,都在云上。
哪片云,是网盘吗?
我们过去常用的网盘,有两个特别大的痛点。
第一,是下载速度。下载速度越快,协同效率越高。但我们过去使用的网盘,下载速度特别慢。常常是今天开始下载,明天开始协同。
第二,是密码管理。就像一口大箱子,是通过钥匙进行管理的。但是,这把钥匙就像信息一样,是可复制、可传递的。至于最后,是内部的我打开了箱子,还是外部的他打开了箱子,不得而知。
所以,用网盘来管理文件,对协同效率和信息安全是很大的挑战。
无论是不是特殊时期,我建议一定要学会用云盘来协同,而不是用网盘。
比如,你可以选择企业微信的微盘,它的下载是不限速的。
更重要的是,微盘同样是可以做到确权、确责的。
每一个目录,子目录,都是可以单独分享权限管理的。
每一个单独的文件,都能看到浏览次数、下载次数。文件被下载的时候,还会收到消息通知,直接看到是谁在下载。
这样,大家才是在同一个地方安全、高效地协作,而不是把文件复制、分散、切割成几十份,各自修改。
信息安全问题,不仅会发生在文件上。有时,也会发生在会议中。
据说,在一次欧洲某国的国防部会议上,竟然混进了一个陌生人。
他就这样大摇大摆地通过线上会议的会议号、密码,进入会议和大家说了一个hello,然后又大摇大摆地走了。只留下一头雾水的官员们。
这次事故,有没有导致机密的泄露,我不知道。但是,“混进一个陌生人”这件事,确实挺困扰我的。
为什么?
因为有的同学的身份证上,写着“张三”。实际生活中,唤作“三哥”。至于在微信世界里,可能叫做“二狗子”。
于是很多时候,线上会议都开完了,我都不知道这位名叫“二狗子”的同学是谁,来自哪个公司、哪个部门。
那,怎么办?
请先证明我是我。
以前有过一则好笑的新闻,一个人想要证明我是我,得去政府机构,要提交各种材料,经过复杂繁琐的手续,才能证明。
你想想,如果换做是你,你会怎么证明。可能一时也想不到办法。
那么,在一场线上会议中,如何证明我是我呢?
最简单的一种办法,就是实名制。
企业微信和微信最大的区别,就是账号体系。你是谁,叫什么名字,来自哪家公司,都是经过认证的。
一目了然。
这就是一场线上会议的第一件要紧事,check参会人。
那,第二件事呢?
锁门。
全员到齐,或是既定的会议开始时间到了,就可以开启“锁定会议”功能。
这样一来,无关人员就被锁在了门外。迟到的同事,就需要先通过申请再进入会议。
如果会议的机密程度再高一些,还可以通过“隐藏会议号和密码”,让这张会议圆桌从线上“消失”。
前面说,有不少企业,尤其是中小企业,甚至从来没有注意过信息安全的问题。
可是,为什么?是因为大型企业会定期举行信息安全培训吗?
有可能。但还有一种原因是,在某些典型的场景下,大型企业面对的信息安全挑战,要比中小型企业大得多。
就比如,员工离职。
对于中小型企业来说,在某一段时间内,同时离职的员工,可能是那么几个人。
几个人离职,那相应调整他们的权限就好了。在线文档的权限,传递过的本地文件的权限,以及在微盘上的权限,相应关闭就好了。
但对于大型企业来说,这个数字,可能是几十,甚至上百人。
上百人离职,那散落在各个地方的权限,简直就像是满天的繁星一样了。
怎么办?也要一个一个地检查过去,相应调整权限吗?
不需要。
直接在企业微信的账号系统中,移除离职员工的账号,就可以了。
一旦账号移除,那么这位员工从离职的那一天开始,就失去了对所有文件的访问权限。
权限可以切断,工作却不能切断。
虽然很不舍上一位员工的离开,但他留下的活儿还等着下一位员工来接手。
可是,接手工作这件事,其实挺费神的。
比如,上一位员工微信上的几百位客户。
这些客户,都是宝贵的资源。但是,一个一个去加,特别费时间。不仅会引起客户的反感,还会产生“拒绝通过”的损耗。
比如,上一位员工负责管理的文件、微盘资料。
这些文件、资料,也都需要新的管理者、责任人。但是,一份一份地check、确权、确责,特别考验心力。量一大,还特别容易出错。
再比如,上一位员工的日程。
今天,这位员工正式离职。但是,三天之后可能有一场原定由他来参加的客户沟通会。
……
等等等等。
费时、费力、费脑。怎么办?
也可以通过企业微信的数据资产交接功能解决。
我猜,你大概也收到过这样的消息:由于工作变更,xx将在24小时后添加为你的企业微信联系人,接替xx继续为你提供服务。
通过数据资产交接功能,就可以一键把离职员工的所有权限交接给接手的下一位员工。
接手员工不仅可以像这样继承离职员工的客户、文档、资料,甚至还可以直接接住日程,自动成为离职员工既定行程的新参与者,不耽误工作的连续性。
这就是企业微信为企业提供的兜底能力。
最后的话
最后,我想和你分享一个有点远古的段子。
假如,有这么一栋房子。这栋房子里,有一台计算机,藏着这个世界上最机密的文件。
而你,想要盗走这份文件。那么,你会怎么做?
走正门吗?可是,这栋房子有四道门。第一道门,装的是密码锁。第二道门,装的是指纹认证。第三道门,装的是人脸识别。第四道门,装的是血液检测。你进不去。
翻窗吗?可是,房子外围有一圈又厚又高的防火墙,还有重兵把守。你打不穿,也爬不上。
那,怎么办?
答案是,在门口放一个好看的大容量U盘。
为什么?
因为一定会有人顺手捡回去就用了。
千里之堤,就这样溃于蚁穴。
对于很多企业来说,信息安全问题,决定不了企业的生,却可能会决定企业的死。
而解决信息安全问题,不仅要靠各种来自工具的保护,更多的,要靠每位使用者的安全意识。
而当有了这种安全意识,你就自然能看到,像企业微信这样的协同工具,其实一直在为你的高效办公而努力,也一直在为你的信息安全而护航。
祝你,享受高效。
也祝你,享受安全。