購物網站會員資料外洩、層出不窮的病毒威脅、離職員工計畫性竊取內部資料等危機不斷上演,即使頂尖企業也無法倖免。在面對危機處理時不能單靠運氣,事前擁有危機因應計畫,才能降低事後傷亡程度,作者提供多年來協助企業、政府處理危機的經驗,幫助你透過警訊判斷潛在危機;更重要的是,當危機一發不可收拾時,如何把損害降至最低。
一名富比士集團旗下出版社的電腦工程師,在被解雇後蓄意破壞出版社五台網路伺服器。伺服器上的資訊全被刪除且無法復原。由於他的破壞行動,富比士被迫停止紐約辦公室兩天的營運,損失超過十萬美元。
~摘自線上雜誌《ARA Content》
自有文明開始,就有暗中破壞行動,現在它變成一種現代戰爭的學科。
現今破壞者形貌多樣,難以辨識,尤其他們如果滲透到空中防禦或大眾安全系統時,將會引起另一波真正的安全危機。
另一種戰爭
今日職場上,戰鬥法則還是相同,即是減少政治陰謀。你的敵人可能包括前任或現任員工與雇員、競爭者、投資者,他們運用聊天室或部落格,希望能從股價波動中獲益。你可能會說:「少來了,那才不是破壞行動,那只是商場的現象。」但想想網路犯罪或竊取競爭者情報會帶來多大影響,你就很清楚這些策略的目標就是要傷害你、你的聲譽以及市場地位。
暗中破壞行動與搶劫不同,後者通常只呈報給當地警察機關,但前者則屬於商業危機。一般來說,主管較不願通報此類事件,因為他們怕媒體刊登,造成組織的窘境或潛在的營收損失。某些案例中,企業領導者甚至不知道他們的資料庫或設備已被破壞。發生疑似破壞的事件後,許多企業會雇用調查員,他們有時會以社會工程的方式試圖追蹤或調查幕後黑手。目前還未有專門的技術對抗這種威脅。暗中破壞行動是一種全然複雜的犯罪,對企業影響甚鉅。
監守自盜
暗中破壞行動不是反射動作,它需要規劃、技能、機會,且破壞者就某方面而言需要自我揭露。破壞的動機或催化劑是一種當下的念頭,即使行動的目的只是自我滿足。一個可隨時進入控制系統的人,要滲入企業營運核心的安全設施也十分容易。
舉例來說,一名心懷不滿的富達國際(Fidelity National)員工在二○○七年七月竊取八百五十萬筆顧客資訊,出售給掮客以換取龐大佣金。富達國際最初的說法是遺失二百四十萬筆顧客資訊。據《電腦世界》(Computerworld)雜誌報導,「被偷的資訊包括姓名、地址、出生日期、銀行帳號與信用卡資訊。一名為信用卡處理業者工作的資料處理員還提供權限確認,讓零售商放心地接受對方的信用卡。」就像我之前提到的,成功的內賊需有兩項要素:機會與動機,這名員工都有了。
你的公司可能有產險與意外險、董事長與高級主管險、錯誤與疏漏險,但是你有投保資訊險嗎?如果沒有,你可能要閱讀Aon保險公司風險部門主管科林區(Kevin Kalinich)的白皮書。一旦知道自己沒有盡責保護好員工、顧客的敏感資訊,或違反「美國金融服務法」(Gramm-Leach-Bliley Act),你可能會輾轉難眠。
一九九三年,我為工業工程學會完成一項研究,結論指出當時最容易受破壞行動影響的是製造業與公共事業,因為員工知道如何破壞主要工具與電力設備,這也讓當時的領導者思考:「若現任或前任員工想要尋求報復也會做相同的事嗎?」
也許。在討論暗中破壞行動如何轉變成企業危機前,讓我們先了解事情的來龍去脈。
大部分員工都十分誠信正直,他們努力為組織貢獻一己之力;換言之,他們絕不會有報復或破壞的行為。但我們必須了解不管員工的年齡為何,就是會有些人思想不成熟。他們幼稚的想法可能引發憤怒行為,不是用槍或拳頭,而是以暗中破壞行動對付組織。然而,另外有些思想成熟的人由於人格異常,也會有破壞組織營運的慾望。舉例來說,駭客或有些高級工程人員遇到不喜歡的公司、討厭的產業、或不同意的政策時,會企圖癱瘓整個資訊系統作為報復。
並非所有破壞行動都會發展成企業危機,我們先將重點放在企業領導者察覺破壞行動意圖時該怎麼做。
資訊、機械層面
三百名員工將幾千名乘客拘禁於郵輪上這種大規模的破壞行動,實在很難不被外界發現;但當企業發現或懷疑員工破壞組織設備時,則通常噤聲不語。這類破壞行動的例子不勝枚舉,從不滿的工程師在旺季時破壞機器設備的重要零件,到癱瘓組織的電腦系統皆含括其中。破壞資訊系統或機器設備的報復行動可能會讓你因延誤出貨而損失幾百萬元,並造成其他員工因操作不當而受傷或死亡。
現今由於監控系統的出現,要在某些工作環境中進行此種破壞日益困難,因此越來越多破壞者轉成破壞電腦或軟體系統。
資訊犯罪大部分是由資訊人員造成,現在更快速成為全球企業與政府面臨的危機。卡內基美隆大學(Carnegie Mellon University)研究員指出,要認出破壞者不需要火箭專家,他們的特色是「不滿、偏激、在辦公室通常很晚出現、與同事偶有爭執且表現平淡無奇。」根據《科技世界》(TechWorld)雜誌指出,約有86%的資訊犯罪是由技術人員造成;其中90%可以自由進出系統,約有41%被企業雇用時,正在破壞系統。大部分的案例是由前任員工所引發,他們有豐富的資訊知道如何侵入以前安裝過或使用過的系統。
暗中破壞活動並不是將板手丟向結構複雜的影印機或侵入資料庫讓系統防火牆當機這麼簡單。有些專家指出,越來越多職場破壞者避免讓企業電腦系統「癱瘓」,他們較偏好「流血至死」的方式;換言之,他們會製造無預期的資訊干擾或讓系統速度變慢,使客戶轉而使用競爭者的平台。有時破壞者就是競爭對手派來的;他們會假裝抓破頭想要知道「發生什麼事?誰想要傷害我們?」其實,他們十分享受這個時刻,因為他們就是幕後黑手。破壞者會讓組織面臨龐大的財務損失。
產業研究機構Forrester Research估計:航空公司系統每當機一小時,會損失九萬美元;而付費電視網則是每當機一小時,損失十五萬美元。十分倚賴網路銷售的企業,如戶外旅行用品商L.L. Bean、史考特網路證券(Scottrade.com)與網路商店Buy.com等皆拒絕回答他們如何避免系統暴露於潛在風險中。身為企業領導者,你應該詢問資訊部門目標復原時間(Recovery Time Objectives,RTO)為何。以目前的標準來說,將復原時間控制在三十分鐘或更短的時間內才合理。如果你應用得當且能及早調查員工的抱怨與牢騷,或許能避免員工的誤解,也不至於發生破壞事件。
暗中破壞是一種犯罪行為。二○○七年,美國知名服飾業者TJX幾百萬客戶的信用卡資訊被竊取。當時TJX不僅沒有立即通知客戶且拒絕回答所有問題,此舉遭到消費者團體、媒體與有關當局猛烈批評。TJX更以「機密」為盾牌,不願公開承認缺乏適當的系統,以避免更多客戶資料被偷。WCVB TV(波士頓電視網旗下的電視頻道)的新聞編輯李維(Phil Levy)私底下告訴我,在他三十年報導企業遭受破壞行為與醜聞的生涯中,他從沒看過一家企業如此漠視大眾的權益。
不管是由現任或前任員工引起的資訊系統危機已經對全球企業造成影響,包括警察機關、零售商、製造產業、小型企業等。越來越多企業採用電子託管服務(vaulting services),也就是以高資料量傳送機密資訊,減少珍貴的企業紀錄被駭客擷取,解決了困擾雇主多年的問題。雖然破壞者有一天還是能破解電子託管服務,但這些資訊平台是你目前最好的解決方案。
如果你會擔心企業受到資訊層面的破壞,也許可以向專門的保險公司Assurex International購買此類保險。Assurex International是世界上最大、銷售私人危機管理的保險公司,總裁哈維(Thomas W. Harvey)在不同的文章中都提到,電子化的破壞行動是目前企業面臨的重大風險之一。他並補充,「資訊保險單可減少因營業中斷、喪失生產力、電腦病毒、罰金、竊案與其他電子化危機所造成的損失。」若你的預算有限,或許可以考慮購買資訊保險。
即使你自信地認為沒有人會破壞組織,還是得小心那些人可能傷害你的供應商;他們一旦成功,組織一樣會受到影響。格拉斯哥大學教授史密斯有句話說得很好:「想想你的供應商與顧客、供應鏈與網絡,最後想想危機可能在哪個環節發生,那麼你就知道需求在哪兒。」我們大家都互有連結。現在是你向合作企業要求他們提供該公司危機管理計畫副本的時候了。
經濟層面
幾年前,我受邀參加一場由競爭者情報協會(SCIP)舉辦的國際研討會,會中主要討論企業使用何種策略竊取競爭者資訊而從中獲利。競爭者情報協會堅持會員只能從事道德性的情報蒐集;換言之,在法律範圍內,他們會從事任何能夠讓結果加分的事情。這方案真是好極了。
某些經驗豐富、為知名品牌工作的產品經理承認,他們已經閱讀、掃瞄與聽過競爭者為了保持領先地位所必須講的任何事情。利益關係人與金融分析師每九十天就會評估公開上市公司的領導者績效,因此企業的壓力較以往更大,他們不僅要討論近來的表現,同時也必須說明目前著眼的專案、設計、產品與市場。因此,有道德的情報蒐集可說是「搖錢樹」。一位英特爾的高級主管告訴我:「如果你從iTune下載的音樂夠多、掃過夠多的技術文獻,並坐在大學教室後面,聽來上課的工程師談論目前進行的專案,你就能將片段資訊拼湊起來。」這種方式不但合法且收穫甚豐。這才是資本主義。
應用策略性標準程序
前任聯邦調查局探員葛雷賽爾調查過無數讓企業損失上百萬美元並耗費精力追查破壞者的詐欺與破壞行動,他在這方面擁有豐富的知識。葛雷賽爾建議可透過以下五個步驟來防範破壞行動:
(1)評估風險並檢視內部控管流程,包括人力資源部門。
坦承面對你的弱點,指定改善並建立背景確認流程的人員。
(2)重新設計可適應這個新世界的政策與流程。
分發、討論道德手冊,並將承諾視為策略性的目標。記住,即使是最「強壯」的組織也曾被攻擊,企業最好準備一套能重新啟動資訊系統的備用計畫。
(3)將反詐騙作業程序深植於組織文化之中。
監控並測試流程,確認是否有人可竊取資料、產品、專利、財務規畫等一切有價值的東西。聘請外部調查員測試是否可輕易潛入企業內部、取得資產。隨時準備好解雇有責任保護公司資產卻失職的員工。建立一個良好的榜樣。
(4)讓所有利益關係人加入報復或破壞行動的討論。
所有員工與雇員必須了解如何巧妙地處理、操控系統。詐騙察覺的訓練是必要的。向組織內、外部的所有相關人員解釋發生什麼事,以及你從中學到什麼。
(5)建立一套牢不可破的調查流程。
建立一套慎重卻可匿名的報告模式,讓員工與雇員可以放心指出誰試圖破壞組織聲譽、產品線或內部情況。如果你無法負擔在組織內建立全職的偵察部門,不妨考慮外包。(摘錄整理自第10章)
危機OFF:企業危機管理指南(Crisis Leadership Now)
羅倫斯‧巴頓(Laurence Barton)/著
麥格羅.希爾出版
售價:380元
作者簡介
羅倫斯‧巴頓(Laurence Barton)
賓州Bryn Mawr美國學院(American College)院長,也是危機管理方面的權威,畢生致力於研究職場危機產生的原因及解決方案。他曾任摩托羅拉危機管理工作的溝通與公共事務副總裁;協助全世界解決超過一千二百件突發狀況,並為英國石油、福特汽車、迪士尼、美國ABC新聞、耐吉、本田汽車(Honda)、ESPN運動頻道等世界知名公司制定危機管理程序或提供諮詢。並在超過六十家飯店或賭場飯店的關鍵時刻予以協助。著有《Crises in Orgnization》等書。
熱門新聞
2024-04-24
2024-04-22
2024-04-22
2024-04-22
2024-04-22
2024-04-22
