应对内部沟通的安全威胁,公司能(néng)做什么?
内部通讯工具的普及使用(yòng)极大地改变了组织内部的沟通,再加上大规模裁员,内部威胁的风险更高。哪些部门是最有(yǒu)针对性的,是什么使它们更加脆弱?
谈到内部威胁,最脆弱的部门包括更广泛的金融服務(wù)业(银行、财富、保险等)、医疗保健、政府和科(kē)技/制造业。从本质上讲,任何处理(lǐ)跨受监管个人信息(如PII、PCI和PHI)的敏感信息的部门,以及通过重大非公开信息(MNPI)、商(shāng)业秘密和密码等危及安全的数据的部门都处于高风险之中。
随着现代通信工具中这种材料的易于沟通、共享甚至创建,人们更容易通过事故或意图过度传递可(kě)能(néng)造成风险和伤害的信息。想象一下Slack或Teams聊天频道中作為(wèi)文(wén)件或链接共享的客户列表,或者Zoom或Webex会议中通过屏幕共享共享的设计文(wén)档,或者聊天中输入的信用(yòng)卡或密码,或者電(diàn)话中记录的密码。
然后,想想错误的人下载或截屏这些信息、存储他(tā)们可(kě)能(néng)不应该存储的录音、无意中暴露或不当使用(yòng)这些信息是多(duō)么容易。然后,认识到大多(duō)数公司今天所依赖的昨天的安全和合规护栏,主要关注電(diàn)子邮件、通过网络或访问云应用(yòng)程序或设备的流量,而不是直接与Zoom、Webex、Slack、RingCentral集成,Microsoft团队和更多(duō)团队致力于解决集成视频、语音和聊天工具中通信中每天发生的信息共享和通信行為(wèi)风险中的人机交互因素。
内部通信如何具體(tǐ)地对组织构成威胁?
与上述相关,通信工具本身通常是安全的,不会构成威胁,并且是解锁更好的协作和节省成本效率的主要工具。正是人為(wèi)因素带来了真正的风险,因為(wèi)越来越多(duō)地使用(yòng)聊天、语音和视频协作技术,人类可(kě)能(néng)会犯错误或行為(wèi)不端。它暴露出,对于用(yòng)户在协作工具内的通信中造成的各种行為(wèi)和信息安全风险,组织对补充政策、程序和护栏技术缺乏准备。
设计用(yòng)于電(diàn)子邮件、网络、云或设备安全的工具与当今通信产生情况和信息共享情况的场景不匹配,正是新(xīn)的、不断扩大的风险面出现的使用(yòng)场景。
為(wèi)了降低通信相关数据泄露的风险,公司必须學(xué)习哪些策略?
為(wèi)了降低新(xīn)的数字化工作场所的风险,公司必须首先围绕这些新(xīn)的沟通工具中的“做”和“不做”制定完善的政策和培训。这应该伴随着定期的政策审计和抽查以及实际的政策执行。然后,公司必须转向实现专门构建的技术,使其能(néng)够检测风险,并在其新(xīn)通信工具内的通信中对该风险采取行动。这些安全工具应该经过思科(kē)、微软、RingCentral、Slack和Zoom等通信平台的审查和认证。
通过调整安全和法规遵从性做法,并使用(yòng)通信工具提供商(shāng)信任和认证的支持技术,客户可(kě)以设置护栏,以最佳方式保护其员工、客户和数据免受滥用(yòng)和误用(yòng)。随着信息日益共享,我们的工作场所互动在协作内部和过程中进行,优化和确保法规遵从性和安全标准是必要的。
企业如何提高员工的安全意识?
為(wèi)了提高员工的安全意识,在实施专门為(wèi)集成语音、视频、消息和聊天工具而构建的安全和法规遵从性技术时,应明确发布有(yǒu)关适当程序的政策和实际培训。与公司将技术用(yòng)于電(diàn)子邮件安全、网络安全、云应用(yòng)程序安全和端点安全的方式相同,也有(yǒu)一些技术可(kě)以帮助管理(lǐ)监控、自动化风险检测,并在聊天、语音、视频和视频中指导员工,以及视频通信,同时监控并强制用(yòng)户在平台上启用(yòng)适当的安全设置……后者是用(yòng)户无意中禁用(yòng)Zoom等公司在其产品中提供的非常强大的安全功能(néng)的常见场所。
第二,技术可(kě)以而且应该是透明的,能(néng)够提醒员工它正在监控以维护安全的数字工作场所。应将其视為(wèi)可(kě)视护栏、警示灯和安全系统,根据风险在需要时激活。例如,技术可(kě)以删除聊天中的客户信息文(wén)件或链接,并将其替换為(wèi)一条消息,指出该文(wén)件由于保护敏感数据的要求而被阻止。另一个例子是,技术可(kě)以通知员工,出于合规目的正在录制视频会议,在会议中,可(kě)以通知用(yòng)户他(tā)们应该避免的风险行為(wèi)。在这些场景中,安全和合规团队只会收到风险通知,而不会收到不相关、浪费时间的非风险通知。
最后,随着合规和安全团队对引发风险的会议、聊天和对话进行取证审查,可(kě)以使用(yòng)技术解决风险并通知员工。这些类型的可(kě)视护栏和警示灯可(kě)以显著降低最常见的风险,并通过减少信号噪声,更容易关注更棘手的风险。
公司组织如何防止不满或辞职员工造成的安全威胁?
除了尽最大努力公平对待员工,并设置基本的不满抑制措施外,处理(lǐ)边缘不满员工的最佳方法是让违规行為(wèi)的规则和后果广為(wèi)人知,同时也让大家知道,有(yǒu)一种先进的技术可(kě)以并将检测到这些违规行為(wèi)。
通过明确所有(yǒu)沟通准则、信息共享方式以及信息和沟通的存储方式,雇主可(kě)以从一开始就降低风险。也就是说,法规遵从性和安全性工具可(kě)以实现风险检测,同时在每次协作、交互和对话中精确定位法规遵从性问题的确切时刻或实例,无论是视频、语音、聊天还是其中共享的文(wén)件。这些规则和含义可(kě)以在最初的雇佣协议以及员工作為(wèi)入职的一部分(fēn)签署的典型隐私和行為(wèi)规则中进行概述和阐述。