确保“人员安全”人力资源专员的九招必备武功

近来,备受业界关注的数据安全泄露事件再次突显了企业信息系统的持续脆弱性。不过,与以往不同的也引起人们注意的是,员工通常沦为复杂的网络钓鱼邮件和其他诈骗攻击的“帮凶”,进而帮助攻击者成功实施对其雇主的信息系统的网络攻击,或者为其他攻击“贡献”力量。对此,昆明亭长朗然科技有限公司企业安全服务专员董志军表示:在越来越复杂的高级可持续性威胁中,攻击者擅于利用员工为“踏板”进行长期“潜伏”,进而让终端的用户(职员)扮演着成功入侵的关键要素。在这种态势下,仅靠技术修复只能减少部分数据泄露的风险。因此,人力资源专业人员和安全意识专业顾问就需要在降低安全风险、使组织免于成为下一个受害者方面发挥关键作用。

下面我们列出了组织机构应考虑采取的确保“人员安全”的九条最佳实践建议,以助力组织加强对敏感信息的安全保障。

  • 职业背景调查。要避免那些有“前科”的、干出“删库后跑路”危险动作的不法分子混入工作队伍,前提动画是对需要访问敏感信息或信息系统管理特权的求职者、临时工和承包商,应在开始工作之前进行彻底的背景调查,并在其后定期进行可信度的评估。
  • 保密协议签署。要求所有有权访问敏感信息的员工们签署一项保密协议,该协议不仅要求保护敏感信息,还要求雇员对保护雇主的敏感和机密信息而必须采取的措施。
  • 职业道德培训。很多安全方面的违规行为并非孤立存在的,往往同时也会违反其他规定,比如外发内部甚至机密信息造成数据泄露的行为,同时必定违反基本的职场专业行为规范。很多腐败行为也会伴随着内幕信息的违规交易或“泄露”而发生。不断进行职业道德与行为规范方面的宣教培训,通过这种内在的、非强制性的约束机制,来强调安全合规性与数据保护职责。
  • 安全意识培训。对所有新入职员工进行信息安全意识培训,并对全体员工提供定期的安全意识提醒。为有权访问敏感信息的员工们提供额外的安全意识培训。
  • 强健密码意识。要求员工们使用强密码(比如至少8个字符,包括大小写字母、数字、符号的混合),禁止员工与任何人(包括IT部门、主管)分享密码。
  • 安全事件响应意识。所有的培训都应包括有关哪些事件构成安全事件以及如何在内部报告安全事件的信息,以便员工们能及时发现安全异常并立即报告,进而连成一道全员安全“人力防火墙”。
  • 识别网络钓鱼和电信诈骗。安全意识还应包括有关如何识别和报告网络钓鱼和电信诈骗的信息。员工们通常可能会通过单击链接或打开附件来激活如勒索软件等恶意软件。通常,他们会被钓鱼网站诱骗提供网络登录凭据。鉴于各种骗局的普遍性和严重后果,资方应考虑向员工们发送虚假的网络钓鱼邮件,通过模拟测试,并为落入该“骗局”的员工们提供更多安全意识教育。
  • 需要知道和最低限度原则。确保员工们只能在“需要知道”的基础上访问敏感数据,并将授权访问限制为履行工作职责所需的最低限度。当工作职责发生变化时,应及时修改访问权限,并在雇佣关系终止后立即终止访问权限。
  • 做好安全事件的应对准备。即使实施了强大的安全防护措施,仍然不可完全避免安全事件的发生。自然而然地,许多事件将被报告给人力资源专业人士或安全意识专业顾问,因此应该制定应对这些“非IT”安全事件的计划。该计划包含强化必要的管控措施,比如改进上述的培训工作等等。

需要补充的是,各家组织机构可能会有不同的职责分工,这九条最佳实践建议可能并非完全落入人力资源部门、信息安全部门或特定工作岗位,尽管如此,增长这方面的知识对于增强跨部门工作的理解互动和协同配合非常有帮助。

希望这些建议能够给人力资源专员一些启发和帮助,如果您对本文的观点有独到的看法,请不要客气地联系我们,一起分享一起进步。

  • 电话:0871-67122372
  • 手机:18206751343
  • 微信:18206751343
  • 邮箱:[email protected]
  • QQ:1767022898

人人需知的云计算安全知识

cloud-umbrella
尽管国内大笔投资的云计算落地似乎并不太顺利,不过真正的云计算往往比较低调,甚至并不愿冠以“云”这个名头。其实从广义上讲,使用基于互联网的信息托管服务,便是在使用云计算。在云端托管服务已经有了多年的历史,但是直到今天,仍然有不少互联网安全的问题,除了终端之外,它们当然也属于云计算的安全问题范畴。

当您连到互联网上,您便是在使用云计算,所以所有人都应该了解云计算的安全问题。昆明亭长朗然科技有限公司云计算观察员James Dong说:企业IT层面正在不断发生变革,在终端层面,自带计算设备BYOD日益流行;在网络层面,WLAN的部署使得网络通讯异常简单;在服务器层面,云端的托管即便宜又有弹性;在应用层面,WEB化和移动化已成趋势;今天我们已经可以看到传统上不断扩张的IT机房开始逆势缩减,更多的空间给了云计算。

在云端托管信息服务的问题在于安全,我们看到太多在线服务被黑客入侵然后曝光客户资料的事情,所以把企业内部敏感信息放在云端的服务器上,目前来讲,还不是很明智,除非我们是以互联网为主业的公司。

我们谈商业安全,谈信息数据的安全,也不能绕过承载这些信息数据的服务器和存储,基于平台即服务PaaS的云计算就是在出租服务器计算能力和数据存储空间。使用PaaS这类服务考验的是厂商的服务质量和用户的云计算使用水平,当然传统的操作系统管理仍然没有太大的变化。

除非您的公司足够大,否则别考虑所谓严肃的“私有云”以及“个人云”,它们虽然看起来安全一些,但是代价太高,和云计算“经济实惠”、“按需付费”的宗旨背道而驰。

上述几点关系更多的是IT决策层,不过云计算让我们面临更多安全威胁的是大量最终用户。昆明亭长朗然科技有限公司James称:企业内部IT应用的建设进度往往要落后于最终用户的需求和市场可提供的服务,这就给员工们“非法”使用基于互联网的云计算带来空间和机会,想要有效控管,除非断网,否则公司的各类信息数据都有可能流向云端,进而面临丢失等各类安全威胁。

如何有效避免敏感信息数据的外流呢?亭长朗然公司James给出几点建议:

1.教育员工在张贴、上传和分享数据之前三思而后行,不要上传有版权争议的文件,不要分享任何涉密甚至和公司和工作有关的内容。
2.加强互联网使用监控和引导,搜集业务相关的云计算使用需求并帮助进行评估和选择合适的厂商及服务。
3.强化公司相关信息的互联网监测和响应,和舆情监测不同的是关注的焦点是公司相关信息数据特别是涉密敏感数据。

云服务的安全性尽管饱受诟病,但不可否认的是它是一个大趋势。计算终端越来越小并且容易携带,移动应用和高速网络让我们无需大量本地存储,强化云计算使用方面的安全防范意识,便成了保障云计算信息安全的关键要素,云计算的安全问题,最终是人员的安全意识问题。

昆明亭长朗然科技有限公司制作了几部互联网安全相关互动式的在线教程和动画视频,有教育意义,有趣,也能启发受众对安全的重视和思考,希望对您有所帮助。如果您想预览它或在培训中使用,请联系我们洽谈业务合作。

电话:0871-67122372

微信:18206751343

邮件:info@securemymind.com

QQ: 1767022898