降低IM风险的10大定律

申请免费试用、咨询电话：400-8352-114

在企业部署即时消息系统前，您是否已经找到了降低其使用风险的办法？ 

最近，即时消息（IM）长期被排除在企业之外的情况有所改观。如今，它已经渐渐成为企业的主流通信方式，同时企业也已经看到其对生产力的促进作用。

加利福尼亚州Sherman Oaks市No Red Tape Mortgage公司负责战略规划的副总裁Josh Stallings说：“在使用即时消息技术前，我们的许多销售人员每天都必须开很多的会才能解决问题。如果采用电子邮件方式，又会出现延迟的问题。”

“现在，我们的员工随时都可以接听电话，因为他们可以同时使用即时消息与我们的处理小组保持沟通，并且获得客户所需的信息，”他说。

Wainhouse Research 公司是一家通信市场的研究企业。该公司负责消息与协作的研究主管Paul Ritter说：“即时消息几乎是无所不在的。我们的研究表明，在美国有超过80% 的大型企业都在使用某种类型的即时消息工具。” 

 但是，Frost & Sullivan 有限公司的会议及协作部项目主管S.V. Purushothaman则认为，即时消息也蕴含着巨大的风险。他说：“今天，全球10%的即时消息都属于垃圾消息。它们的潜在破坏力与垃圾邮件不相上下。”

此外，他还指出，一些黑客也发现通过即时消息的好友列表可以更容易地入侵对方的系统，而且比其他方式要方便许多。 

出于安全的考虑，有些公司规定即时消息在公司内部是不合法的，但也有一些企业希望能够规避这类风险，并且享受到它所带来的商业利益。而在对即时消息系统和工具的管理方面，有一些方便、有效的手段可以规范企业中的即时通信行为。

1. 管理未经授权的IM客户端

Regence健康保险集团的信息保护及保障主管David MacLeod认为，这种方法适用于所有新添加到IT资产和基础设施中的东西。他说：“我们拥有定义明确、受控和受监视的电子边界。我们知道哪些东西可以进入我们的企业，哪些绝对不能离开。很明显，当您在网络中添加任何新设备时，这一步骤是最为重要的。”

2. 解决由于变更而产生的风险 

如果您只是简单地将即时消息功能添加到网络中，就像是添加任何软件一样，风险也将随之而至。MacLeod 说：“这并不是偶然的。新添加的设备都有可能带来一些安全或隐私的问题。您需要确定这种即时消息技术是否已经改变了企业的安全现状。” 
        
3. 发现和验证用户，防止出现未经授权的访问

即所谓的“用户验证”。Man Financial公司的CIO Tim Hudson在公司中规定，只有具备适当权限的人员才可以获得网络中的某些部分的访问权。他说：“如果有人登录即时消息系统，我们立即就能知道他或她到底是谁。”

4. 建立合适的使用策略

Frost & Sullivan公司的Purushothaman说: “如果您希望使用某一种即时消息产品，您就需要认真做一些准备工作，并制订适当的策略。”他指出，策略中可能包括一些规则，规定用户是否可以通过即时消息发送文件，因为它很可能成为散播病毒的途径。

5. 禁止某些工作组通过即时消息互相沟通

Hudson说：“我们有不同的用户小组，而且它们之间不需要使用即时消息相互沟通。这样可以确保研究、销售、管理和产品客户小组之间保持合理的关系和距离。”他指出，用于识别用户的技术也可以用来判断用户小组所具备的即时消息权限。 
        
6. 即时消息的使用和策略上对员工进行培训

员工在即时消息的安全问题上扮演着重要的角色。Hudson 认为：“教育员工不要共享口令。如果他们这样做了，就等于是将自己的身份交予他人。”在Regence集团中，人员管理对于确保即时消息安全性起着重要作用。MacLeod 说：“我们已经在策略中明确指出，哪些信息可以共享，哪些信息需要保护，共享信息时应采用什么机制。”

7. 执行策略 

MacLeod说：“当我们的行为与策略发生抵触时，我们的工具能够自动发出通知。我们还与人力资源和行政部门保持密切地接触，确保员工能够知道自己的所作所为是否符合公司的策略，以及如何才能使信息交互变得更加安全可靠。”

8. 监视与法规有关的风险 

 许多使用即时消息的公司都要遵守多种法规，例如健康保险移植性及说明性法案和Sarbanes-Oxley法案等。一些公司的CIO认为，法规遵从性关心的是如何让那些应该加密的信息以最快的速度和最简便的方式传送到公网中的多个目的地。因此，在金融、医疗等领域，即时消息通话过程必须全部记录在案，并且生成日志。Purushothaman说，另外还需要一些策略来防止任何受损信息离开企业的控制范围。

9. 管理即时消息补丁 

应付即时消息补丁时应该像处理其他的软件补丁一样。MacLeod 说：“我们对所有的即时消息软件补丁进行评估，确定它们是否能够解决某些风险问题。如果确实可以，我们就将其列入优先实施的内容，并且在适当的时候尽快实施。”
        
10. 如果您向公司以外发送即时消息，请注意这种行为的风险

MacLeod说：“在如果一位CIO确定需要与公司之外的人员通过即时消息系统进行信息交互，他必须采取一些控制措施，使自己的即时消息系统暂时与内部即时消息系统隔离开来。”Hudson补充说，我们可能还需要一些额外的验证措施，以确定到底是谁在公司以外发送即时消息。(CCW)