應對(duì)内部溝通的安全威脅,公司能(néng)做什(shén)麽?

    2022/8/17 10:34:41 人評論

    應對(duì)内部溝通的安全威脅,公司能(néng)做什(shén)麽?

     

    内部通訊工(gōng)具的普及使用(yòng)極大(dà)地改變了(le)組織内部的溝通,再加上(shàng)大(dà)規模裁員,内部威脅的風(fēng)險更高(gāo)。哪些(xiē)部門(mén)是最有針對(duì)性的,是什(shén)麽使它們更加脆弱?

     

    談到(dào)内部威脅,最脆弱的部門(mén)包括更廣泛的金(jīn)融服務業(銀行、财富、保險等)、醫(yī)療保健、政府和(hé)科技/制造業。從(cóng)本質上(shàng)講,任何處理(lǐ)跨受監管個人信息(如PIIPCI和(hé)PHI)的敏感信息的部門(mén),以及通過重大(dà)非公開(kāi)信息(MNPI)、商業秘密和(hé)密碼等危及安全的數據的部門(mén)都處于高(gāo)風(fēng)險之中。

     

    随着現(xiàn)代通信工(gōng)具中這(zhè)種材料的易于溝通、共享甚至創建,人們更容易通過事(shì)故或意圖過度傳遞可能(néng)造成風(fēng)險和(hé)傷害的信息。想象一下(xià)SlackTeams聊天頻道(dào)中作(zuò)爲文(wén)件或鏈接共享的客戶列表,或者ZoomWebex會(huì)議(yì)中通過屏幕共享共享的設計(jì)文(wén)檔,或者聊天中輸入的信用(yòng)卡或密碼,或者電話(huà)中記錄的密碼。

     

    然後,想想錯誤的人下(xià)載或截屏這(zhè)些(xiē)信息、存儲他(tā)們可能(néng)不應該存儲的錄音(yīn)、無意中暴露或不當使用(yòng)這(zhè)些(xiē)信息是多麽容易。然後,認識到(dào)大(dà)多數公司今天所依賴的昨天的安全和(hé)合規護欄,主要關注電子郵件、通過網絡或訪問雲應用(yòng)程序或設備的流量,而不是直接與ZoomWebexSlackRingCentral集成,Microsoft團隊和(hé)更多團隊緻力于解決集成視(shì)頻、語音(yīn)和(hé)聊天工(gōng)具中通信中每天發生的信息共享和(hé)通信行爲風(fēng)險中的人機交互因素。

     

    内部通信如何具體地對(duì)組織構成威脅?

     

    與上(shàng)述相關,通信工(gōng)具本身通常是安全的,不會(huì)構成威脅,并且是解鎖更好(hǎo)的協作(zuò)和(hé)節省成本效率的主要工(gōng)具。正是人爲因素帶來(lái)了(le)真正的風(fēng)險,因爲越來(lái)越多地使用(yòng)聊天、語音(yīn)和(hé)視(shì)頻協作(zuò)技術,人類可能(néng)會(huì)犯錯誤或行爲不端。它暴露出,對(duì)于用(yòng)戶在協作(zuò)工(gōng)具内的通信中造成的各種行爲和(hé)信息安全風(fēng)險,組織對(duì)補充政策、程序和(hé)護欄技術缺乏準備。

     

    設計(jì)用(yòng)于電子郵件、網絡、雲或設備安全的工(gōng)具與當今通信産生情況和(hé)信息共享情況的場景不匹配,正是新的、不斷擴大(dà)的風(fēng)險面出現(xiàn)的使用(yòng)場景。

     

    爲了(le)降低(dī)通信相關數據洩露的風(fēng)險,公司必須學習哪些(xiē)策略?

     

    爲了(le)降低(dī)新的數字化工(gōng)作(zuò)場所的風(fēng)險,公司必須首先圍繞這(zhè)些(xiē)新的溝通工(gōng)具中的“做”和(hé)“不做”制定完善的政策和(hé)培訓。這(zhè)應該伴随着定期的政策審計(jì)和(hé)抽查以及實際的政策執行。然後,公司必須轉向實現(xiàn)專門(mén)構建的技術,使其能(néng)夠檢測風(fēng)險,并在其新通信工(gōng)具内的通信中對(duì)該風(fēng)險采取行動。這(zhè)些(xiē)安全工(gōng)具應該經過思科、微軟、RingCentralSlack和(hé)Zoom等通信平台的審查和(hé)認證。

     

    通過調整安全和(hé)法規遵從(cóng)性做法,并使用(yòng)通信工(gōng)具提供商信任和(hé)認證的支持技術,客戶可以設置護欄,以最佳方式保護其員工(gōng)、客戶和(hé)數據免受濫用(yòng)和(hé)誤用(yòng)。随着信息日益共享,我們的工(gōng)作(zuò)場所互動在協作(zuò)内部和(hé)過程中進行,優化和(hé)确保法規遵從(cóng)性和(hé)安全标準是必要的。

     

    企業如何提高(gāo)員工(gōng)的安全意識?

     

    爲了(le)提高(gāo)員工(gōng)的安全意識,在實施專門(mén)爲集成語音(yīn)、視(shì)頻、消息和(hé)聊天工(gōng)具而構建的安全和(hé)法規遵從(cóng)性技術時(shí),應明(míng)确發布有關适當程序的政策和(hé)實際培訓。與公司将技術用(yòng)于電子郵件安全、網絡安全、雲應用(yòng)程序安全和(hé)端點安全的方式相同,也(yě)有一些(xiē)技術可以幫助管理(lǐ)監控、自(zì)動化風(fēng)險檢測,并在聊天、語音(yīn)、視(shì)頻和(hé)視(shì)頻中指導員工(gōng),以及視(shì)頻通信,同時(shí)監控并強制用(yòng)戶在平台上(shàng)啓用(yòng)适當的安全設置……後者是用(yòng)戶無意中禁用(yòng)Zoom等公司在其産品中提供的非常強大(dà)的安全功能(néng)的常見場所。

     

    第二,技術可以而且應該是透明(míng)的,能(néng)夠提醒員工(gōng)它正在監控以維護安全的數字工(gōng)作(zuò)場所。應将其視(shì)爲可視(shì)護欄、警示燈和(hé)安全系統,根據風(fēng)險在需要時(shí)激活。例如,技術可以删除聊天中的客戶信息文(wén)件或鏈接,并将其替換爲一條消息,指出該文(wén)件由于保護敏感數據的要求而被阻止。另一個例子是,技術可以通知(zhī)員工(gōng),出于合規目的正在錄制視(shì)頻會(huì)議(yì),在會(huì)議(yì)中,可以通知(zhī)用(yòng)戶他(tā)們應該避免的風(fēng)險行爲。在這(zhè)些(xiē)場景中,安全和(hé)合規團隊隻會(huì)收到(dào)風(fēng)險通知(zhī),而不會(huì)收到(dào)不相關、浪費時(shí)間的非風(fēng)險通知(zhī)。

     

    最後,随着合規和(hé)安全團隊對(duì)引發風(fēng)險的會(huì)議(yì)、聊天和(hé)對(duì)話(huà)進行取證審查,可以使用(yòng)技術解決風(fēng)險并通知(zhī)員工(gōng)。這(zhè)些(xiē)類型的可視(shì)護欄和(hé)警示燈可以顯著降低(dī)最常見的風(fēng)險,并通過減少信号噪聲,更容易關注更棘手的風(fēng)險。

     

    公司組織如何防止不滿或辭職員工(gōng)造成的安全威脅?

     

    除了(le)盡最大(dà)努力公平對(duì)待員工(gōng),并設置基本的不滿抑制措施外(wài),處理(lǐ)邊緣不滿員工(gōng)的最佳方法是讓違規行爲的規則和(hé)後果廣爲人知(zhī),同時(shí)也(yě)讓大(dà)家知(zhī)道(dào),有一種先進的技術可以并将檢測到(dào)這(zhè)些(xiē)違規行爲。

     

    通過明(míng)确所有溝通準則、信息共享方式以及信息和(hé)溝通的存儲方式,雇主可以從(cóng)一開(kāi)始就降低(dī)風(fēng)險。也(yě)就是說,法規遵從(cóng)性和(hé)安全性工(gōng)具可以實現(xiàn)風(fēng)險檢測,同時(shí)在每次協作(zuò)、交互和(hé)對(duì)話(huà)中精确定位法規遵從(cóng)性問題的确切時(shí)刻或實例,無論是視(shì)頻、語音(yīn)、聊天還是其中共享的文(wén)件。這(zhè)些(xiē)規則和(hé)含義可以在最初的雇傭協議(yì)以及員工(gōng)作(zuò)爲入職的一部分簽署的典型隐私和(hé)行爲規則中進行概述和(hé)闡述。


    ×