應對内部溝通的安全威脅,公司能做什麽?

    2022/8/17 10:34:41 人評論

    應對内部溝通的安全威脅,公司能做什麽?

     

    内部通訊工(gōng)具的普及使用極大(dà)地改變了組織内部的溝通,再加上大(dà)規模裁員(yuán),内部威脅的風險更高。哪些部門是最有針對性的,是什麽使它們更加脆弱?

     

    談到内部威脅,最脆弱的部門包括更廣泛的金融服務業(銀行、财富、保險等)、醫療保健、政府和科技/制造業。從本質上講,任何處理跨受監管個人信息(如PIIPCIPHI)的敏感信息的部門,以及通過重大(dà)非公開(kāi)信息(MNPI)、商(shāng)業秘密和密碼等危及安全的數據的部門都處于高風險之中(zhōng)。

     

    随着現代通信工(gōng)具中(zhōng)這種材料的易于溝通、共享甚至創建,人們更容易通過事故或意圖過度傳遞可能造成風險和傷害的信息。想象一(yī)下(xià)SlackTeams聊天頻(pín)道中(zhōng)作爲文件或鏈接共享的客戶列表,或者ZoomWebex會議中(zhōng)通過屏幕共享共享的設計文檔,或者聊天中(zhōng)輸入的信用卡或密碼,或者電(diàn)話(huà)中(zhōng)記錄的密碼。

     

    然後,想想錯誤的人下(xià)載或截屏這些信息、存儲他們可能不應該存儲的錄音、無意中(zhōng)暴露或不當使用這些信息是多麽容易。然後,認識到大(dà)多數公司今天所依賴的昨天的安全和合規護欄,主要關注電(diàn)子郵件、通過網絡或訪問雲應用程序或設備的流量,而不是直接與ZoomWebexSlackRingCentral集成,Microsoft團隊和更多團隊緻力于解決集成視頻(pín)、語音和聊天工(gōng)具中(zhōng)通信中(zhōng)每天發生(shēng)的信息共享和通信行爲風險中(zhōng)的人機交互因素。

     

    内部通信如何具體(tǐ)地對組織構成威脅?

     

    與上述相關,通信工(gōng)具本身通常是安全的,不會構成威脅,并且是解鎖更好的協作和節省成本效率的主要工(gōng)具。正是人爲因素帶來了真正的風險,因爲越來越多地使用聊天、語音和視頻(pín)協作技術,人類可能會犯錯誤或行爲不端。它暴露出,對于用戶在協作工(gōng)具内的通信中(zhōng)造成的各種行爲和信息安全風險,組織對補充政策、程序和護欄技術缺乏準備。

     

    設計用于電(diàn)子郵件、網絡、雲或設備安全的工(gōng)具與當今通信産生(shēng)情況和信息共享情況的場景不匹配,正是新的、不斷擴大(dà)的風險面出現的使用場景。

     

    爲了降低通信相關數據洩露的風險,公司必須學習哪些策略?

     

    爲了降低新的數字化工(gōng)作場所的風險,公司必須首先圍繞這些新的溝通工(gōng)具中(zhōng)的“做”和“不做”制定完善的政策和培訓。這應該伴随着定期的政策審計和抽查以及實際的政策執行。然後,公司必須轉向實現專門構建的技術,使其能夠檢測風險,并在其新通信工(gōng)具内的通信中(zhōng)對該風險采取行動。這些安全工(gōng)具應該經過思科、微軟、RingCentralSlackZoom等通信平台的審查和認證。

     

    通過調整安全和法規遵從性做法,并使用通信工(gōng)具提供商(shāng)信任和認證的支持技術,客戶可以設置護欄,以最佳方式保護其員(yuán)工(gōng)、客戶和數據免受濫用和誤用。随着信息日益共享,我(wǒ)們的工(gōng)作場所互動在協作内部和過程中(zhōng)進行,優化和确保法規遵從性和安全标準是必要的。

     

    企業如何提高員(yuán)工(gōng)的安全意識?

     

    爲了提高員(yuán)工(gōng)的安全意識,在實施專門爲集成語音、視頻(pín)、消息和聊天工(gōng)具而構建的安全和法規遵從性技術時,應明确發布有關适當程序的政策和實際培訓。與公司将技術用于電(diàn)子郵件安全、網絡安全、雲應用程序安全和端點安全的方式相同,也有一(yī)些技術可以幫助管理監控、自動化風險檢測,并在聊天、語音、視頻(pín)和視頻(pín)中(zhōng)指導員(yuán)工(gōng),以及視頻(pín)通信,同時監控并強制用戶在平台上啓用适當的安全設置……後者是用戶無意中(zhōng)禁用Zoom等公司在其産品中(zhōng)提供的非常強大(dà)的安全功能的常見場所。

     

    第二,技術可以而且應該是透明的,能夠提醒員(yuán)工(gōng)它正在監控以維護安全的數字工(gōng)作場所。應将其視爲可視護欄、警示燈和安全系統,根據風險在需要時激活。例如,技術可以删除聊天中(zhōng)的客戶信息文件或鏈接,并将其替換爲一(yī)條消息,指出該文件由于保護敏感數據的要求而被阻止。另一(yī)個例子是,技術可以通知(zhī)員(yuán)工(gōng),出于合規目的正在錄制視頻(pín)會議,在會議中(zhōng),可以通知(zhī)用戶他們應該避免的風險行爲。在這些場景中(zhōng),安全和合規團隊隻會收到風險通知(zhī),而不會收到不相關、浪費(fèi)時間的非風險通知(zhī)。

     

    最後,随着合規和安全團隊對引發風險的會議、聊天和對話(huà)進行取證審查,可以使用技術解決風險并通知(zhī)員(yuán)工(gōng)。這些類型的可視護欄和警示燈可以顯著降低最常見的風險,并通過減少信号噪聲,更容易關注更棘手的風險。

     

    公司組織如何防止不滿或辭職員(yuán)工(gōng)造成的安全威脅?

     

    除了盡最大(dà)努力公平對待員(yuán)工(gōng),并設置基本的不滿抑制措施外(wài),處理邊緣不滿員(yuán)工(gōng)的最佳方法是讓違規行爲的規則和後果廣爲人知(zhī),同時也讓大(dà)家知(zhī)道,有一(yī)種先進的技術可以并将檢測到這些違規行爲。

     

    通過明确所有溝通準則、信息共享方式以及信息和溝通的存儲方式,雇主可以從一(yī)開(kāi)始就降低風險。也就是說,法規遵從性和安全性工(gōng)具可以實現風險檢測,同時在每次協作、交互和對話(huà)中(zhōng)精确定位法規遵從性問題的确切時刻或實例,無論是視頻(pín)、語音、聊天還是其中(zhōng)共享的文件。這些規則和含義可以在最初的雇傭協議以及員(yuán)工(gōng)作爲入職的一(yī)部分(fēn)簽署的典型隐私和行爲規則中(zhōng)進行概述和闡述。


    ×