人力资源可以与IT和其他部门合作,以提高远程工作人员的安全意识,并帮助防止恶意的网络攻击。
如今远程工作的指数级增长使黑客能够轻松应对易受攻击的端点。
总部位于纽约州标准普尔全球市场情报公司的451Research公司的高级研究分析师Daniel Kennedy表示,虽然远程工作并不陌生,但远程工作的人数却是前所未有的。
提高员工的意识是使公司成为没有吸引力的目标并阻止任何网络安全漏洞的关键。人力资源领导者及其团队与IT部门合作,并在这种意识中发挥着重要作用。
人力资源团队可以遵循以下六个策略来实现这一目标。
1.了解人力资源在安全意识中的作用
人力资源团队需要充分了解在家工作可能给公司带来的危险。
Forrester公司安全和风险首席分析师Heidi Shey说,“网络攻击者将利用端点软件漏洞、Web漏洞、电子邮件网络钓鱼和其他形式的社会工程手段来危害端点,”
人力资源部门的参与对于提高员工的安全意识至关重要,而这对于阻止网络安全攻击至关重要。
Shey说:“尽管企业可以采取措施保护端点、数据和网络访问,但这还不够。他们还需要帮助指导员工了解远程工作的风险。”
2.调整个人设备安全策略
危机时期需要采取新的,更强有力的安全措施。
Shey说,人力资源和IT部门应首先共同努力,为使用个人设备制定清晰一致的政策。
她说:“向员工清楚传达如果他们将个人设备用于工作目的的含义。这可能意味着员工需要下载并安装特定的软件以供IT部门管理设备,或者IT部门可以远程擦除其设备。当工作人员了解使用个人设备进行工作意味着将某些隐私权和控制权转让给其雇主时,他们可能会做出不同的设备决定。有些员工可能希望保持工作与个人生活之间的隔离,并因此选择不使用个人设备进行工作。”
3.随时了解网络安全威胁
黑客一直在改进和改进其攻击方式。但是,IT部门可以持续监控威胁情况,并在攻击之前发现首选方法。IT和人力资源可以保持开放的沟通渠道,因此人力资源可以立即提高员工的意识。
网络钓鱼和网络入侵是在可预见的将来可能持续存在的两个最常见的威胁。
仿冒电子邮件会诱骗员工泄露其密码,访问代码和其他用户识别信息,攻击者利用这些信息来访问公司数据,资金和系统。
Kennedy说:“虽然我不认为网络钓鱼是一种新的威胁,但针对在家工作的员工的新变化正在弹出,并且有些变化非常有效。例如,考虑一封引用联系人跟踪的电子邮件。它包含良好的网络钓鱼方案的所有特征,例如及时、紧急、关注或恐惧而产生响应。”
但是,不只是电子邮件允许攻击者进入端点。
他指出,家庭网络从根本上与企业网络不同,因此更容易受到网络攻击。
他说,弱端点的一个例子是具有通过默认或弱密码容易访问的管理接口的家庭路由器。
这可以暴露企业防火墙通常不允许的服务。
Kennedy说:“Wi-Fi网络可能没有得到有效的保护,共享网络上其他用户的行为也有所不同。例如,大多数员工在家完成一天的工作后可能不会玩下载的游戏,但是他们的孩子却在玩。”
物联网还提供了不同的端点阵列,对家庭网络构成的威胁要大于对商业网络的威胁。智能电视、移动电话和智能设备都是连接到家庭网络的设备的示例。
Shey说,每个人平均有六个连接的设备。这对黑客来说意味着更多的机会。
Shey说:“甚至在疫情发生之前,我们就已经看到了消费者物联网设备是如何增加攻击面的。但是,企业可以采取一些措施来有效缓解这些问题。”
Kennedy说:“人力资源可以与首席信息安全官合作,讨论许多安全策略,从提高安全意识计划到重新审视员工笔记本电脑的端点控制。”
4.挖掘公关和营销专业知识
当企业的每个员工都在乎并准确了解其含义以及如何提高企业的效率时,网络安全才能发挥最佳作用。这意味着人力资源和IT部门可能希望与其他部门联系,以寻求帮助来提高安全意识。
特别是公关和市场营销部门具有帮助提高消息传递效率的技能。
Kennedy说,“一家公司的市场营销和公共关系人员花了很多时间在思考如何制作引起注意的信息。一些知名度最高的运动看起来像广告运动。”
他说,不要害怕让这些专家参与该计划,以帮助编写消息。
5.专注于人力资源和IT协作以实施安全控制
人力资源和信息技术将需要紧密合作,以提高安全性,而又不会增加员工负担。
Shey说:“在充满不确定性和压力的情况下,人力资源部可以做的最重要的事情就是移情并专注于员工的经历。在这种环境下,企业面临的主要安全风险是如何将员工视为财务困境,对裁员的恐惧和对雇主的不满创造了内部威胁的理想环境。”
例如,糟糕的员工体验会激励员工去应对变化,而不是接受变化。员工可能会遇到的最常见的反应之一是围绕控制工作或不支持控制。缺乏支持将使企业面临更多的网络攻击。
Kennedy说:“在部署安全技术控制方面,有时会给员工以轻率的态度。”“思考过程是,他们受制于企业所实施的一切;但是,[雇员]通常具有比人们意识到的更多的代理权。”
这意味着在推出新的安全控制措施时,IT确实需要依靠HR对员工体验的洞察力。
Kennedy说,“人力资源和IT部门应该认为这些控件的推出,尽管还不完全是向客户或客户推出某些东西的级别,但更接近该级别。”
他表示,有一些方法可以促进用户采用。这里有一些建议可以提供帮助:
在推出之前,需要仔细测试任何安全控件的可用性。
彻底解释其原因以及控制措施的目标,例如意识培训。
对控件正在产生的摩擦或其使用户的工作更加困难的反馈意见持开放态度。
权衡该摩擦与减轻的风险,并决定是否应继续进行或应调整控制措施。
6.呼吁个人利益
营销的主要规则是了解受众并吸引他们的关注。由于安全问题可能与任何个人关注问题相距遥远,因此人力资源部门需要加倍努力,以将安全问题与受众关心的事情联系起来。
国际律师事务所ClarkHill的就业和网络安全律师Charles Russman说:“有很多方法可以教育员工网络安全的重要性以及网络安全的工作原理。最关键的两个是高管的个性化和参与。”
他说,个性化意味着向员工解释,网络安全不仅对于业务连续性至关重要,而且还可以保护自己的数据以及公司拥有的有关家庭成员的数据,例如企业健康计划中的数据。
当员工了解自己的安全和家庭安全受到威胁时,他们更有可能保持警惕。
解释为什么员工必须采取特定的安全措施-以及不采取措施可能造成的危害-往往比仅发布有关如何采取各种安全预防措施的说明更为有效。
Shey说:“确保员工了解安全措施背后的原因,期望做什么以及在遇到问题时应与谁联系。”