如今,企业数据面临的内部威胁仍然是一个尚未得到足够重视的问题。根据Deloitte-NASCIO公司2018年发布的网络安全研究报告,企业首席信息安全官(CISO)面临的主要挑战仍然是“预算不足、人才短缺,以及日益增加的网络威胁”。对于某些组织而言,内部威胁甚至没有列为其十大优先事项。
考虑到所面临的威胁以及组织发现并最终防止内部威胁的能力,这将成为组织的安全主管们再也不能忽视的现象。具体来说,组织的安全主管需要了解以下有关内部威胁的五件事:
1.不要低估来自内部的业务威胁
网络犯罪变得越来越普遍,并且造成的损失高昂,2018年全球组织发生的违规次数比2017年增加了11%,造成了平均1,330万美元的损失。而且,根据Verizon公司的《2019年数据泄露调查报告》,在2017年11月至2018年10月期间发生的数据泄露事件中,有超过三分之一涉及组织内部人员。
2.员工表现发生变化
组织知道每聘用一名新员工,就会冒着可能招不到优秀员工的风险。这就是企业需要对应聘人员进行背景调查的原因。还有一些公司甚至设定更长的“试用期”,在这段时间,员工没有资格享受某些福利或获得保密信息。
但采取的这些步骤还不够。随着时间的推移,员工的个人生活中会发生一些变化,并可能会影响他们在工作场所的表现。也许他们在工作之外还有很多责任,正面对经济压力,这也许是购买了新房或新车,或者需要支付不可预见的医疗、教育或家人的养老费用。
这种压力可能会驱使员工将公司置于损失经济利益的风险之中,例如偷窃办公用品、窃取知识产权、提交虚假报销单等。
3.警惕员工承受的压力
好消息是,像这样的内部威胁经常被可观察到的行为模式所排除,这些行为通常归结为一件事:压力。
员工面临压力可能表现为生活水平和生产率下降。根据Gallup公司的调查,压力较大和工作效率不高的员工休假的可能性要高37%,而他们所在组织的生产率将会降低18%,利润降低15%。或者,在更极端的情况下,压力可能表现在与客户和同事的谈话中、在身体状况;或者在员工制定的某种恶意计划中。
4.持续评估使领导者能够合规地查看员工风险指标
持续评估解决方案提醒组织管理者注意出现这些预警信号的员工。除了背景调查通常会筛选的内容(主要是犯罪活动)之外,还需要定制持续评估解决方案,以筛选其他感兴趣的因素:工作场所暴力行为、客户服务评论、可疑的金融活动或互联网搜索内容等。
此外,还可以允许其他员工提供匿名报告,这样,如果亲眼目睹某人有关行为,就有机会传递这些信息,而不必担心报复。。
所有这些都必须依法完成。这就是可以在入职流程中征得员工同意的原因,以及某些连续评估解决方案具有自动审核流程的特点的原因,该流程可以确保标准化的工作流程以进行人力资源、法律、安全和合规性的验证和调查。而且,组织需要遵循平等就业机会委员会(EEOC)和《公平信用报告法》(FCRA)的法规,它们还包括员工隐私保护和法律保护,以确保公平公正的程序,消除偏见和偏袒行为。
5.早期和持续的发现使领导者可以在行为升级之前进行干预
出现的警告绝对不能忽略。需要尽早采取行动,安全主管需要与领导团队或人力资源部门的其他成员一起工作,以防止员工的问题升级。
通过迅速采取行动,安全主管可以让人力资源管理人员与这些员工进行沟通与对话,以尝试了解哪些因素可能导致他们的压力和行为上发生显著改变。然后减轻员工的压力,这可能是减轻他们的工作量,提供弹性工作时间,或者如果这是他们无力解决的问题,则可以将他们与员工帮助或保健计划或外部资源联系起来,可以通过财务规划师和医疗专业人员等人员提供适当的帮助。
显然,忽略内部威胁会给企业带来很多损失,而安全主管需要快速识别和缓解这些威胁。除了他们应该做的事情之外,利用早期和持续的评估来查看和防止内部威胁是安全主管对于组织、员工和用户必须做的事情。