內(nèi)部威脅:比你想象的更常見(jiàn)
一項(xiàng)新的研究表明,安全團(tuán)隊(duì)必須全面了解網(wǎng)絡(luò)安全,合規(guī)性,技術(shù)和人力資源,才能真正解決由員工帶來(lái)的風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響。
很多公司抱著 “內(nèi)部威脅不會(huì)出現(xiàn)在我們這里” 的心態(tài),因?yàn)樗麄兿嘈抛约汗蛡蛄俗顑?yōu)秀、最誠(chéng)實(shí)和最值得信任的員工。 鑒于多年前進(jìn)行的員工調(diào)查,一開(kāi)始情況可能如此。但是后來(lái),隨著個(gè)人生活中出現(xiàn)多重壓力,例如離婚,酒駕,或者因?yàn)槠渌虮淮叮飘a(chǎn),留置權(quán)問(wèn)題,情況會(huì)發(fā)生變化。
大多數(shù)時(shí)候,這些壓力源來(lái)自外部,雇主們注意不到。在某些情況下,這些壓力會(huì)導(dǎo)致員工做出擾亂內(nèi)部安全的行動(dòng),使組織機(jī)構(gòu)面臨風(fēng)險(xiǎn),即使高管們對(duì)個(gè)人情況一無(wú)所知。
最近出現(xiàn)了很多有關(guān)員工的事件,這些員工問(wèn)題對(duì)大型企業(yè)的財(cái)務(wù)和聲譽(yù)產(chǎn)生了負(fù)面影響:
- 一名前Goodwill員工通過(guò)偽造工資單記錄,從該慈善機(jī)構(gòu)偷走了93,000美元。
- 一名居心不良的員工闖入了特斯拉的制造操作系統(tǒng),并向外部發(fā)送了高度敏感的數(shù)據(jù)。
- Uber的60人危機(jī)小組正在處理每周向該公司報(bào)告的1,200起嚴(yán)重事件,包括口頭威脅,身體和性侵犯,強(qiáng)奸,盜竊和嚴(yán)重交通事故。
好消息是,很多安全主管已經(jīng)開(kāi)始意識(shí)到內(nèi)部員工可能帶來(lái)的風(fēng)險(xiǎn)。根據(jù)Endera最近對(duì)200名安全主管進(jìn)行的調(diào)查,平均而言,擁有1000名或以上員工的公司,每周至少會(huì)發(fā)生三起和員工相關(guān)的事件,即每年156起,其中包括欺詐、網(wǎng)絡(luò)安全風(fēng)險(xiǎn)、職場(chǎng)暴力以及設(shè)備盜竊或丟失。這份報(bào)告中的幾個(gè)關(guān)鍵趨勢(shì)也強(qiáng)調(diào)了安全主管需要對(duì)此進(jìn)行更深入地了解并更積極主動(dòng)面對(duì)這個(gè)問(wèn)題。
1. 積極主動(dòng)的安全文化
Endera的報(bào)告顯示,88%的受訪者認(rèn)為,企業(yè)可以通過(guò)有效的政策執(zhí)行和員工援助計(jì)劃,主動(dòng)防止問(wèn)題發(fā)生,以留住人才,并營(yíng)造一個(gè)積極、安全的工作環(huán)境。相反,在有關(guān)員工安全的事件發(fā)生后,近40%的受訪者表示,員工對(duì)公司保障他們安全的能力失去了信心。
2. 供應(yīng)鏈風(fēng)險(xiǎn)
在所有接受調(diào)查的安全管理人員中,有87%的人員表示,獨(dú)立供應(yīng)商/自由職業(yè)者最有可能造成員工相關(guān)的安全事件,例如欺詐和盜竊設(shè)備。同時(shí)64%的人表示,供應(yīng)鏈/第三方供應(yīng)商最有可能帶來(lái)這些風(fēng)險(xiǎn)。報(bào)告還發(fā)現(xiàn),71%的供應(yīng)商與客戶有過(guò)面對(duì)面溝通,包括那些依賴企業(yè)擴(kuò)展來(lái)提供日常服務(wù)的供應(yīng)商,如兒童看護(hù)、交通、醫(yī)療保健等。
3. 從更廣闊、更全面的角度來(lái)看待威脅
有86%的受訪者表示,設(shè)備盜竊或丟失是三大風(fēng)險(xiǎn)之最,其次是欺詐(80%)和網(wǎng)絡(luò)安全威脅(74%)。十分之三(31%)的受訪者表示,在過(guò)去12個(gè)月里,網(wǎng)絡(luò)安全事件 (包括IP盜竊和數(shù)據(jù)丟失) 是他們所在組織機(jī)構(gòu)面臨的代價(jià)最高的內(nèi)部或外部安全威脅。雖然關(guān)注網(wǎng)絡(luò)威脅很重要,但安全主管也需要考慮職工帶來(lái)的風(fēng)險(xiǎn)。
4. 員工風(fēng)險(xiǎn)帶來(lái)的負(fù)面業(yè)務(wù)影響
絕大多數(shù)(98%)的安全主管報(bào)告,由于員工相關(guān)事件,他們的組織機(jī)構(gòu)遭受了負(fù)面影響。例如,調(diào)查發(fā)現(xiàn):
- 63%的受訪者表示,他們經(jīng)歷過(guò)經(jīng)濟(jì)損失和敏感數(shù)據(jù)丟失。
- 60%的受訪者表示,客戶對(duì)公司的信任度下降,公司聲譽(yù)受損。
- 59%的人表示,員工對(duì)企業(yè)保護(hù)員工安全的能力的信心下降,員工因此離開(kāi)公司。
5. 入職前和入職后的員工調(diào)查
雖然在受訪的組織機(jī)構(gòu)中,有四分之三的組織機(jī)構(gòu)表示在44%的情況下進(jìn)行了入職前員工調(diào)查,但企業(yè)表示,在發(fā)生事故前沒(méi)有發(fā)現(xiàn)潛在的員工或人事問(wèn)題。略低于一半(48%)的受訪者表示,會(huì)定期進(jìn)行員工調(diào)查。那些通過(guò)防數(shù)據(jù)丟失工具使用內(nèi)部數(shù)據(jù),進(jìn)行用戶活動(dòng)監(jiān)測(cè)、通信監(jiān)控,或鍵盤記錄軟件評(píng)估員工風(fēng)險(xiǎn)的組織機(jī)構(gòu)中,十個(gè)中有四個(gè)受訪者報(bào)告說(shuō),有時(shí)候不能快速獲取相關(guān)信息。并且34%的受訪者表示信息并不是最新的,而且不能覆蓋所有數(shù)據(jù),如正在進(jìn)行的公共刑事或民事調(diào)查和處罰,或降低風(fēng)險(xiǎn)所需的許可證要求。大多數(shù)受訪者表示,已經(jīng)實(shí)施的員工調(diào)查,如背景調(diào)查或正在進(jìn)行評(píng)估的頻率較低,只有11%的受訪者表示每月會(huì)進(jìn)行一次調(diào)查,只有2%的受訪者表示,他們的組織機(jī)構(gòu)每天都會(huì)更新個(gè)人的外部背景調(diào)查結(jié)果。
通過(guò)了解所有風(fēng)險(xiǎn)因素,擁有能夠主動(dòng)評(píng)估、診斷和減輕員工帶來(lái)的風(fēng)險(xiǎn)的能力是至關(guān)重要的。安全團(tuán)隊(duì)必須從被動(dòng)式轉(zhuǎn)向主動(dòng)的風(fēng)險(xiǎn)管理方法,全面了解網(wǎng)絡(luò)安全,合規(guī)性,技術(shù)和人力資源,才能真正解決由員工帶來(lái)的風(fēng)險(xiǎn)對(duì)業(yè)務(wù)的影響。
【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章,轉(zhuǎn)載請(qǐng)通過(guò)安全牛(微信公眾號(hào)id:gooann-sectv)獲取授權(quán)】
