人力資源可以與IT和其他部門合作,以提高遠程工作人員的安全意識,并幫助防止惡意的網(wǎng)絡攻擊。
如今遠程工作的指數(shù)級增長使黑客能夠輕松應對易受攻擊的端點。
總部位于紐約州標準普爾全球市場情報公司的451Research公司的高級研究分析師Daniel Kennedy表示,雖然遠程工作并不陌生,但遠程工作的人數(shù)卻是前所未有的。
提高員工的意識是使公司成為沒有吸引力的目標并阻止任何網(wǎng)絡安全漏洞的關鍵。人力資源領導者及其團隊與IT部門合作,并在這種意識中發(fā)揮著重要作用。
人力資源團隊可以遵循以下六個策略來實現(xiàn)這一目標。
1.了解人力資源在安全意識中的作用
人力資源團隊需要充分了解在家工作可能給公司帶來的危險。
Forrester公司安全和風險首席分析師Heidi Shey說,“網(wǎng)絡攻擊者將利用端點軟件漏洞、Web漏洞、電子郵件網(wǎng)絡釣魚和其他形式的社會工程手段來危害端點,”
人力資源部門的參與對于提高員工的安全意識至關重要,而這對于阻止網(wǎng)絡安全攻擊至關重要。
Shey說:“盡管企業(yè)可以采取措施保護端點、數(shù)據(jù)和網(wǎng)絡訪問,但這還不夠。他們還需要幫助指導員工了解遠程工作的風險。”
2.調(diào)整個人設備安全策略
危機時期需要采取新的,更強有力的安全措施。
Shey說,人力資源和IT部門應首先共同努力,為使用個人設備制定清晰一致的政策。
她說:“向員工清楚傳達如果他們將個人設備用于工作目的的含義。這可能意味著員工需要下載并安裝特定的軟件以供IT部門管理設備,或者IT部門可以遠程擦除其設備。當工作人員了解使用個人設備進行工作意味著將某些隱私權和控制權轉(zhuǎn)讓給其雇主時,他們可能會做出不同的設備決定。有些員工可能希望保持工作與個人生活之間的隔離,并因此選擇不使用個人設備進行工作。”
3.隨時了解網(wǎng)絡安全威脅
黑客一直在改進和改進其攻擊方式。但是,IT部門可以持續(xù)監(jiān)控威脅情況,并在攻擊之前發(fā)現(xiàn)首選方法。IT和人力資源可以保持開放的溝通渠道,因此人力資源可以立即提高員工的意識。
網(wǎng)絡釣魚和網(wǎng)絡入侵是在可預見的將來可能持續(xù)存在的兩個最常見的威脅。
仿冒電子郵件會誘騙員工泄露其密碼,訪問代碼和其他用戶識別信息,攻擊者利用這些信息來訪問公司數(shù)據(jù),資金和系統(tǒng)。
Kennedy說:“雖然我不認為網(wǎng)絡釣魚是一種新的威脅,但針對在家工作的員工的新變化正在彈出,并且有些變化非常有效。例如,考慮一封引用聯(lián)系人跟蹤的電子郵件。它包含良好的網(wǎng)絡釣魚方案的所有特征,例如及時、緊急、關注或恐懼而產(chǎn)生響應。”
但是,不只是電子郵件允許攻擊者進入端點。
他指出,家庭網(wǎng)絡從根本上與企業(yè)網(wǎng)絡不同,因此更容易受到網(wǎng)絡攻擊。
他說,弱端點的一個例子是具有通過默認或弱密碼容易訪問的管理接口的家庭路由器。
這可以暴露企業(yè)防火墻通常不允許的服務。
Kennedy說:“Wi-Fi網(wǎng)絡可能沒有得到有效的保護,共享網(wǎng)絡上其他用戶的行為也有所不同。例如,大多數(shù)員工在家完成一天的工作后可能不會玩下載的游戲,但是他們的孩子卻在玩。”
物聯(lián)網(wǎng)還提供了不同的端點陣列,對家庭網(wǎng)絡構(gòu)成的威脅要大于對商業(yè)網(wǎng)絡的威脅。智能電視、移動電話和智能設備都是連接到家庭網(wǎng)絡的設備的示例。
Shey說,每個人平均有六個連接的設備。這對黑客來說意味著更多的機會。
Shey說:“甚至在疫情發(fā)生之前,我們就已經(jīng)看到了消費者物聯(lián)網(wǎng)設備是如何增加攻擊面的。但是,企業(yè)可以采取一些措施來有效緩解這些問題。”
Kennedy說:“人力資源可以與首席信息安全官合作,討論許多安全策略,從提高安全意識計劃到重新審視員工筆記本電腦的端點控制。”
4.挖掘公關和營銷專業(yè)知識
當企業(yè)的每個員工都在乎并準確了解其含義以及如何提高企業(yè)的效率時,網(wǎng)絡安全才能發(fā)揮最佳作用。這意味著人力資源和IT部門可能希望與其他部門聯(lián)系,以尋求幫助來提高安全意識。
特別是公關和市場營銷部門具有幫助提高消息傳遞效率的技能。
Kennedy說,“一家公司的市場營銷和公共關系人員花了很多時間在思考如何制作引起注意的信息。一些知名度最高的運動看起來像廣告運動。”
他說,不要害怕讓這些專家參與該計劃,以幫助編寫消息。
5.專注于人力資源和IT協(xié)作以實施安全控制
人力資源和信息技術將需要緊密合作,以提高安全性,而又不會增加員工負擔。
Shey說:“在充滿不確定性和壓力的情況下,人力資源部可以做的最重要的事情就是移情并專注于員工的經(jīng)歷。在這種環(huán)境下,企業(yè)面臨的主要安全風險是如何將員工視為財務困境,對裁員的恐懼和對雇主的不滿創(chuàng)造了內(nèi)部威脅的理想環(huán)境。”
例如,糟糕的員工體驗會激勵員工去應對變化,而不是接受變化。員工可能會遇到的最常見的反應之一是圍繞控制工作或不支持控制。缺乏支持將使企業(yè)面臨更多的網(wǎng)絡攻擊。
Kennedy說:“在部署安全技術控制方面,有時會給員工以輕率的態(tài)度。”“思考過程是,他們受制于企業(yè)所實施的一切;但是,[雇員]通常具有比人們意識到的更多的代理權。”
這意味著在推出新的安全控制措施時,IT確實需要依靠HR對員工體驗的洞察力。
Kennedy說,“人力資源和IT部門應該認為這些控件的推出,盡管還不完全是向客戶或客戶推出某些東西的級別,但更接近該級別。”
他表示,有一些方法可以促進用戶采用。這里有一些建議可以提供幫助:
在推出之前,需要仔細測試任何安全控件的可用性。
徹底解釋其原因以及控制措施的目標,例如意識培訓。
對控件正在產(chǎn)生的摩擦或其使用戶的工作更加困難的反饋意見持開放態(tài)度。
權衡該摩擦與減輕的風險,并決定是否應繼續(xù)進行或應調(diào)整控制措施。
6.呼吁個人利益
營銷的主要規(guī)則是了解受眾并吸引他們的關注。由于安全問題可能與任何個人關注問題相距遙遠,因此人力資源部門需要加倍努力,以將安全問題與受眾關心的事情聯(lián)系起來。
國際律師事務所ClarkHill的就業(yè)和網(wǎng)絡安全律師Charles Russman說:“有很多方法可以教育員工網(wǎng)絡安全的重要性以及網(wǎng)絡安全的工作原理。最關鍵的兩個是高管的個性化和參與。”
他說,個性化意味著向員工解釋,網(wǎng)絡安全不僅對于業(yè)務連續(xù)性至關重要,而且還可以保護自己的數(shù)據(jù)以及公司擁有的有關家庭成員的數(shù)據(jù),例如企業(yè)健康計劃中的數(shù)據(jù)。
當員工了解自己的安全和家庭安全受到威脅時,他們更有可能保持警惕。
解釋為什么員工必須采取特定的安全措施-以及不采取措施可能造成的危害-往往比僅發(fā)布有關如何采取各種安全預防措施的說明更為有效。
Shey說:“確保員工了解安全措施背后的原因,期望做什么以及在遇到問題時應與誰聯(lián)系。”