近来,备受业界关注的数据安全泄露事件再次突显了企业信息系统的持续脆弱性。不过,与以往不同的也引起人们注意的是,员工通常沦为复杂的网络钓鱼邮件和其他诈骗攻击的“帮凶”,进而帮助攻击者成功实施对其雇主的信息系统的网络攻击,或者为其他攻击“贡献”力量。对此,昆明亭长朗然科技有限公司企业安全服务专员董志军表示:在越来越复杂的高级可持续性威胁中,攻击者擅于利用员工为“踏板”进行长期“潜伏”,进而让终端的用户(职员)扮演着成功入侵的关键要素。在这种态势下,仅靠技术修复只能减少部分数据泄露的风险。因此,人力资源专业人员和安全意识专业顾问就需要在降低安全风险、使组织免于成为下一个受害者方面发挥关键作用。
下面我们列出了组织机构应考虑采取的确保“人员安全”的九条最佳实践建议,以助力组织加强对敏感信息的安全保障。
- 职业背景调查。要避免那些有“前科”的、干出“删库后跑路”危险动作的不法分子混入工作队伍,前提动画是对需要访问敏感信息或信息系统管理特权的求职者、临时工和承包商,应在开始工作之前进行彻底的背景调查,并在其后定期进行可信度的评估。
- 保密协议签署。要求所有有权访问敏感信息的员工们签署一项保密协议,该协议不仅要求保护敏感信息,还要求雇员对保护雇主的敏感和机密信息而必须采取的措施。
- 职业道德培训。很多安全方面的违规行为并非孤立存在的,往往同时也会违反其他规定,比如外发内部甚至机密信息造成数据泄露的行为,同时必定违反基本的职场专业行为规范。很多腐败行为也会伴随着内幕信息的违规交易或“泄露”而发生。不断进行职业道德与行为规范方面的宣教培训,通过这种内在的、非强制性的约束机制,来强调安全合规性与数据保护职责。
- 安全意识培训。对所有新入职员工进行信息安全意识培训,并对全体员工提供定期的安全意识提醒。为有权访问敏感信息的员工们提供额外的安全意识培训。
- 强健密码意识。要求员工们使用强密码(比如至少8个字符,包括大小写字母、数字、符号的混合),禁止员工与任何人(包括IT部门、主管)分享密码。
- 安全事件响应意识。所有的培训都应包括有关哪些事件构成安全事件以及如何在内部报告安全事件的信息,以便员工们能及时发现安全异常并立即报告,进而连成一道全员安全“人力防火墙”。
- 识别网络钓鱼和电信诈骗。安全意识还应包括有关如何识别和报告网络钓鱼和电信诈骗的信息。员工们通常可能会通过单击链接或打开附件来激活如勒索软件等恶意软件。通常,他们会被钓鱼网站诱骗提供网络登录凭据。鉴于各种骗局的普遍性和严重后果,资方应考虑向员工们发送虚假的网络钓鱼邮件,通过模拟测试,并为落入该“骗局”的员工们提供更多安全意识教育。
- 需要知道和最低限度原则。确保员工们只能在“需要知道”的基础上访问敏感数据,并将授权访问限制为履行工作职责所需的最低限度。当工作职责发生变化时,应及时修改访问权限,并在雇佣关系终止后立即终止访问权限。
- 做好安全事件的应对准备。即使实施了强大的安全防护措施,仍然不可完全避免安全事件的发生。自然而然地,许多事件将被报告给人力资源专业人士或安全意识专业顾问,因此应该制定应对这些“非IT”安全事件的计划。该计划包含强化必要的管控措施,比如改进上述的培训工作等等。
需要补充的是,各家组织机构可能会有不同的职责分工,这九条最佳实践建议可能并非完全落入人力资源部门、信息安全部门或特定工作岗位,尽管如此,增长这方面的知识对于增强跨部门工作的理解互动和协同配合非常有帮助。
希望这些建议能够给人力资源专员一些启发和帮助,如果您对本文的观点有独到的看法,请不要客气地联系我们,一起分享一起进步。
- 电话:0871-67122372
- 手机:18206751343
- 微信:18206751343
- 邮箱:[email protected]
- QQ:1767022898
