應對(duì)内部溝通的安全威脅,公司能(néng)做什麼(me)?

    2022/8/17 10:34:41 人評論

    應對(duì)内部溝通的安全威脅,公司能(néng)做什麼(me)?

     

    内部通訊工具的普及使用極大地改變了組織内部的溝通,再加上大規模裁員,内部威脅的風險更高。哪些部門是最有針對(duì)性的,是什麼(me)使它們更加脆弱?

     

    談到内部威脅,最脆弱的部門包括更廣泛的金融服務業(銀行、财富、保險等)、醫療保健、政府和科技/制造業。從本質上講,任何處理跨受監管個人信息(如PIIPCIPHI)的敏感信息的部門,以及通過(guò)重大非公開(kāi)信息(MNPI)、商業秘密和密碼等危及安全的數據的部門都(dōu)處于高風險之中。

     

    随著(zhe)現代通信工具中這(zhè)種(zhǒng)材料的易于溝通、共享甚至創建,人們更容易通過(guò)事(shì)故或意圖過(guò)度傳遞可能(néng)造成(chéng)風險和傷害的信息。想象一下SlackTeams聊天頻道(dào)中作爲文件或鏈接共享的客戶列表,或者ZoomWebex會議中通過(guò)屏幕共享共享的設計文檔,或者聊天中輸入的信用卡或密碼,或者電話中記錄的密碼。

     

    然後(hòu),想想錯誤的人下載或截屏這(zhè)些信息、存儲他們可能(néng)不應該存儲的錄音、無意中暴露或不當使用這(zhè)些信息是多麼(me)容易。然後(hòu),認識到大多數公司今天所依賴的昨天的安全和合規護欄,主要關注電子郵件、通過(guò)網絡或訪問雲應用程序或設備的流量,而不是直接與ZoomWebexSlackRingCentral集成(chéng),Microsoft團隊和更多團隊緻力于解決集成(chéng)視頻、語音和聊天工具中通信中每天發(fā)生的信息共享和通信行爲風險中的人機交互因素。

     

    内部通信如何具體地對(duì)組織構成(chéng)威脅?

     

    與上述相關,通信工具本身通常是安全的,不會構成(chéng)威脅,并且是解鎖更好(hǎo)的協作和節省成(chéng)本效率的主要工具。正是人爲因素帶來了真正的風險,因爲越來越多地使用聊天、語音和視頻協作技術,人類可能(néng)會犯錯誤或行爲不端。它暴露出,對(duì)于用戶在協作工具内的通信中造成(chéng)的各種(zhǒng)行爲和信息安全風險,組織對(duì)補充政策、程序和護欄技術缺乏準備。

     

    設計用于電子郵件、網絡、雲或設備安全的工具與當今通信産生情況和信息共享情況的場景不匹配,正是新的、不斷擴大的風險面(miàn)出現的使用場景。

     

    爲了降低通信相關數據洩露的風險,公司必須學(xué)習哪些策略?

     

    爲了降低新的數字化工作場所的風險,公司必須首先圍繞這(zhè)些新的溝通工具中的“做”和“不做”制定完善的政策和培訓。這(zhè)應該伴随著(zhe)定期的政策審計和抽查以及實際的政策執行。然後(hòu),公司必須轉向(xiàng)實現專門構建的技術,使其能(néng)夠檢測風險,并在其新通信工具内的通信中對(duì)該風險采取行動。這(zhè)些安全工具應該經(jīng)過(guò)思科、微軟、RingCentralSlackZoom等通信平台的審查和認證。

     

    通過(guò)調整安全和法規遵從性做法,并使用通信工具提供商信任和認證的支持技術,客戶可以設置護欄,以最佳方式保護其員工、客戶和數據免受濫用和誤用。随著(zhe)信息日益共享,我們的工作場所互動在協作内部和過(guò)程中進(jìn)行,優化和确保法規遵從性和安全标準是必要的。

     

    企業如何提高員工的安全意識?

     

    爲了提高員工的安全意識,在實施專門爲集成(chéng)語音、視頻、消息和聊天工具而構建的安全和法規遵從性技術時,應明确發(fā)布有關适當程序的政策和實際培訓。與公司將(jiāng)技術用于電子郵件安全、網絡安全、雲應用程序安全和端點安全的方式相同,也有一些技術可以幫助管理監控、自動化風險檢測,并在聊天、語音、視頻和視頻中指導員工,以及視頻通信,同時監控并強制用戶在平台上啓用适當的安全設置……後(hòu)者是用戶無意中禁用Zoom等公司在其産品中提供的非常強大的安全功能(néng)的常見場所。

     

    第二,技術可以而且應該是透明的,能(néng)夠提醒員工它正在監控以維護安全的數字工作場所。應將(jiāng)其視爲可視護欄、警示燈和安全系統,根據風險在需要時激活。例如,技術可以删除聊天中的客戶信息文件或鏈接,并將(jiāng)其替換爲一條消息,指出該文件由于保護敏感數據的要求而被(bèi)阻止。另一個例子是,技術可以通知員工,出于合規目的正在錄制視頻會議,在會議中,可以通知用戶他們應該避免的風險行爲。在這(zhè)些場景中,安全和合規團隊隻會收到風險通知,而不會收到不相關、浪費時間的非風險通知。

     

    最後(hòu),随著(zhe)合規和安全團隊對(duì)引發(fā)風險的會議、聊天和對(duì)話進(jìn)行取證審查,可以使用技術解決風險并通知員工。這(zhè)些類型的可視護欄和警示燈可以顯著降低最常見的風險,并通過(guò)減少信号噪聲,更容易關注更棘手的風險。

     

    公司組織如何防止不滿或辭職員工造成(chéng)的安全威脅?

     

    除了盡最大努力公平對(duì)待員工,并設置基本的不滿抑制措施外,處理邊緣不滿員工的最佳方法是讓違規行爲的規則和後(hòu)果廣爲人知,同時也讓大家知道(dào),有一種(zhǒng)先進(jìn)的技術可以并將(jiāng)檢測到這(zhè)些違規行爲。

     

    通過(guò)明确所有溝通準則、信息共享方式以及信息和溝通的存儲方式,雇主可以從一開(kāi)始就降低風險。也就是說,法規遵從性和安全性工具可以實現風險檢測,同時在每次協作、交互和對(duì)話中精确定位法規遵從性問題的确切時刻或實例,無論是視頻、語音、聊天還(hái)是其中共享的文件。這(zhè)些規則和含義可以在最初的雇傭協議以及員工作爲入職的一部分簽署的典型隐私和行爲規則中進(jìn)行概述和闡述。


    ×