觀點

企業無視AP漏洞 反假資安名義打壓員工

2011 / 10 / 20
魯智深
企業無視AP漏洞  反假資安名義打壓員工

為了慶祝阿公的九十大壽,散聚在各地的親戚齊聚一堂,左看右看,就是沒看到小表妹。印象中她大學一畢業,就在一家本土服務業,找到一份令人稱羨的工作。就在壽宴快結束前,只見小表妹頂個大濃妝,一臉倦容的趕到現場,私底下已經有些長輩發出不滿的聲音。趁著水果還沒上的空檔,趕快把小表妹拉到一邊。

 

「你看起來很累,發生什麼事嗎?」「剛下班就急著衝過來。」「你怎麼不和別人調班,何必把自己弄得那麼辛苦?」「我也不想啊!只是公司上個月發公告說基於資訊安全考量,無限期停用調班系統,也不允許我們私下調班。」「資訊安全和調班系統有什麼關係?」「我也不知道,反正主管就是想盡辦法不讓我們換班,以前講資訊安全是說如何防病毒、不要亂開郵件,現在卻直接將這頂大帽子往我們身上一扣,不準我們上調班系統換班,什麼時候資訊安全和調班有關?!」「所以,你們現在都不能使用調班系統嗎?如果真的需要調班怎麼辦?」「好像只有主管級可以繼續使用,如果真要調班就只能用書面申請的方式,先寫報告、附上佐證資料及申請表,再跟主管裝乖討交情。如果這和資訊安全有關,我倒覺得我們公司電腦三天兩頭不能用的問題還比較嚴重。」

 

原來現在資訊安全還有這樣的功用。後來想想,資訊安全這個名詞,都可以拿來當作辦公室鬥爭的工具,小小地限縮員工的權限,又何嘗不可?只是我有時候真的不知道高階主管們在想些什麼,寧可花心思想這些藉口,卻不願意將精神用在資安的基礎建設上。甚至寧願讓駭客的後門程式潛伏在應用系統中,也不願意去思考如何防止同樣的事情再次發生。

 

也許等到有一天,有了重大的損失後,才會有所警惕,也或者一樣麻木,反正船過水無痕,只要沒人講話就代表沒事。我真的越來越不清楚,組織上位者如何看待資安。如果有一本暢銷書,叫做「老闆和你想的不一樣」,我一定要好好請教這位作者,到底這些高階經理人對資安的態度和背後動機代表的是什麼意義。