如何避免成为安全漏洞的头条新闻 HR作为网络安全合作伙伴的独特角色 Introduction 几乎每周,我们都会听到有关公司安全系统被攻破的消息 。社会安全号码被盗取。信用卡账户遭到入侵。客户和员工信息遭到泄露。报道安全攻击的新闻如此常见,你几乎开始怀疑当这种情况发生在你的公司时,你会如何应对。 不幸的是,我们很少听到那些被阻止的攻击,这真是遗憾。人力资源专业人士往往应得到大部分功劳。 通过与您的IT部门和高级领导团队合作,像您这样的HR专业人士可以帮助您的公司防范那些最危险的犯罪分子 。这一切只需要承诺构建一种文化,在这种文化中,网络安全成为您所做一切的自然组成部分。 文化合作者: 您的IT部门和高级领导需要您的帮助,以在整个组织中创建网络安全文化。 在本指南中,您将学习帮助您的策略: 建立网络安全员工队伍 选择安全优势管理技术 确保员工在工作和家庭中的安全 ©Businessolver.c,omI2n0c.2 1.Allrightsreserved.2 建立网络安全员工队伍 作为人力资源专业人士,你知道你们组织最宝贵的资产之一就是你们的员工。因此,在保护组织免受网络威胁方面,你的角色至关重要。作为招聘者、教育者和文化创造者,你具备独特的能力来帮助IT团队构建“人性防火墙”,以抵御恶意攻击。 就像通过电子邮件过滤、网关、防病毒软件和其他工具阻止外部黑客对您的数据进行未经授权的访问的技术防火墙一样,您的人员防火墙引入了人类唯一具备资格的安全层。 资产激活器: 您的员工是您最大的资产。通过与IT团队合作,您可以帮助开发“人工防火墙”。 正如您的员工是组织最宝贵的资产之一,某些个人也代表着最大的威胁。如果没有一个经过充分训练的人力防火墙——其中每个“砖块”都同样强大——整个组织可能因简单的鼠标点击而被攻破。只需要一名员工点击、下载或错误地将信息发送给错误的人,您就成为了安全漏洞的头条新闻。 大多数情况下,导致员工泄露事件的行为是无意的。然而,就像所有“事故”一样,通过遵循一些基本策略,它们是可以被预防的。在本节中,我们提供了最重要的五点建议。 ,2023 1.早且经常训练 现成的网络安全培训模块是一个很好的起点。寻找一个能够针对您公司面临的独特安全威胁的课程。卡车运输公司与医院的需求会有所不同。在确定了最合适的课程后,想办法将其融入新员工入职培训中。 最重要的是,加强教学要点或定期扩展。网络攻击无季节之分。这将帮助您构建一个全年无休、可持续的网络安全文化。在执行您的培训计划时,请确保从领导层获取反馈,以确定员工是否内化了您所倡导的实践。例如,询问他们员工之间讨论安全问题的频率。 如果您的教学要点经常出现在保护公司的背景下,并且如此进行,请继续您目前的做法。如果不是这样,考虑增加教育努力的频率,或者寻找更具影响力的教学方法。记住,文化并非一朝一夕形成的。 ,2024 2.测试你的员工 发展内在驱动的网络安全文化的一种方法是让员工从错误中吸取教训。 最好的老师是经验,但网络安全的景观不是游乐场。 在Businessolver,我们定期通过向员工发送假冒的钓鱼邮件来测试他们。这些邮件看似来自信誉良好的发件人,诱使收件人分享诸如密码、银行账户信息等敏感信息。每隔一段时间,我们会随机选取一部分员工接收一封看起来合法但带有明显钓鱼企图迹象的邮件。 如果员工中计,他们将会收到一条消息,告知他们犯了错误 ,但幸运的是,这一切发生在安全的环境中。报告该消息的人会收到回复,对他们识别安全威胁并采取适当行动的警觉性表示认可。 3.制定政策 为员工提供实践技能的现实机会可以建立起可持续的习惯 。但这些策略需要时间。不良分子行动迅速,这为不可协商的网络安全政策提供了有力的理由。 证流程( 某些任务可以被硬编码进特定的应用程序中。例如,个人员工应定期收到提示以更改其密码,或者在完成多因素认如通过次要介质如短信发送代码后物理输入代码 )之前被 阻止访问某些应用。 然而,在程序化层面,政策有时可能会被误读或重新优先级排序。管理者可能会忘记要求供应商定期审计,或者更新用于存储数据的技术。作为一名人力资源专业人士,您的职责之一 是确保所有政策都被遵循,无论这些政策影响的是100%还是1 %的员工。请记住,网络安全劳动力的强大程度取决于其最薄弱的环节。 ,2025 4.监控所有端点 在构建网络安全文化的进程中,您需要理解一些,而非全部技术细节。其中一项关键细节便是终端安全。这一概念指的是保护所有与企业IT网络连接的“终端”(如服务器、笔记本电脑、 智能手机等)。端点安全性允许您的IT部门监控员工在工作职责方面的活动。 例如,如果服务中心代表正在执行与他们的职位描述不相符的操作,则安全团队会收到警报。当这种情况发生时,很容易被当时的紧迫感所牵动。 在与员工讨论潜在误用情况时,采取“信任但需验证”的方法。首先假设其有良好意图,但在调查和后续跟进过程中要彻底且严谨。 5.筛选您的员工 背景调查现已成为入职前流程的标准组成部分。一些公司,例如Businessolver,每年会对每位员工进行背景调查。无论您多久筛选一次员工,都要找到适合您独特业务需求的供应商。了解他们的灵活性程度以及他们是否提供了一系列服务供您根据每个职位描述选择合适的筛选级别。 同时,考虑供应商在已建立的关键信息来源集成方面的联系程度,包括美国以外的来源。数据隐私也应列入您的考虑范围,以及供应商与您现有人力资源系统的整合能力。 ,2026 选择安全福利管理技术 人力资源领导者们日益被要求涉足晦暗的人力资源技术与数据安全领域。并且,他们必须找到方法与IT团队以及高管层(C-suite)讨论发现的内容,尤其是在考虑采用新的福利管理技术供应商时。 随着软件即服务(SaaS)平台的日益流行,人们越来越倾向于选择具有一定程度品牌认知度的供应商,并假设其他公司已经从网络安全的角度评估了这些解决方案。不幸的是,这是一种常见的误解——一种可能导致您成为安全漏洞新闻头 条的误解。最终,您必须根据组织独特的安全威胁模型来评估您的选择。对一家公司有用的东西,可能对你不起作 用。 协商协调员: 不要单打独斗。倾听您的IT团队的意见。让他们参与到制定RFP的过程中来,并邀请他们审查您收到的提交资料 。 选择人力资源技术供应商时进行详尽的尽职调查始于撰写一份请求建议书(RFP),这份文件将帮助您获取所需的信息。虽然撰写RFP可能是一项令人望而生畏的任务,但它也可能充满 刺激性。毕竟,这确实是一份愿望清单——向成人圣诞老人致信,列出所有你需要(并应得)来完成工作并打动上司的任务。但在您开始列出所有梦想中的功能和特性之前,请从非谈判项开始,比如安全性。 本部分提供五条建议,旨在帮助您规划、研究并选择最符合需求的福利管理平台。 ,2027 1.让您的安全团队参与进来 当安全性不可妥协时,IT部门必须参与决策。最不想看到的情况是在数月的时间里筛选了三位最终候选人,却发现他们都不符合安全团队的要求。通过早早就邀请风险管理专家参与, 并且经常性地进行合作,你将不仅仅了解到他们对安全的基本 需求,还将获得对收集、存储和访问福利信息相关风险的更深层次的认识与理解。 您的讨论可能会促使这些领域的专家重新审视他们久未考虑的安全问题,从而增强他们在您RFP流程中作为合作伙伴的价值以及整个组织的安全性。同时,请确保将风险管理专家纳入审查团队。他们知道要提出哪些后续问题。 2.需求网络保险 不了解这个存在吗?它确实存在,并且值得拥有。提供网络保险的供应商保护其客户免受基于互联网的风险,如数据破坏、勒索、盗窃、黑客攻击和拒绝服务攻击。保险通常包括因错误和遗漏导致的损失、未能保护数据的损失、诽谤、事件后的公关费用、调查费用,甚至刑事奖励基金。 值得注意的是,并非所有福利管理平台都提供网络安全保险 。这一现象背后的原因在于保险公司对供应商提出日益严格的要求,以确保供应商符合保险覆盖资格。若供应商无法证明自己是低风险对象,便无法获得保险覆盖。 ,2028 3.要求证明 正如保险公司会要求你的供应商证明他们是一个很好的风险,你也应该这样做。在寻求新的福利管理平台进入市场时,请确保您的请求建议书(RFP)要求申请者具体展示其技能、经验和实践。示例可能包括关于他们如何保护数据在未通过系统传输时的信息,他们所采用的何种技术 控制确保适当的数据获取和使用,以及他们如何对员工进行审核的证据。 一旦提案返回给您,要求审查小组的风险管理专家特别关注供应商提出的与安全相关声明的真实性。如果需要更多的证据来支持供应商的声明或要求不同的证据,通过后续问题提出您的需求。 4.确认资源 在您考虑选择一个福利管理解决方案提供商时,客户服务资源几乎肯定会在您的需求列表中占据首要位置。很容易想象“优秀”的样子,因为您的经验已经为您提供了相应的背景信息。 不过,安全性是在后台工作的,这使得确定如何满足您的需求变得更加困难。 再次,与您的IT团队合作,以确定从供应商所需的资源类型 ,确保满足所有安全需求,包括分配给您的帐户的人数、他们的资质、他们在组织中的服务时间以及能给您信心继续前进的其他详细信息。 ,2029 5.确定稳定性 鉴于技术及其业务发展速度之快,当推出新的人力资源解决方案时,合作伙伴稳定性应得到特别关注。确保您的RFP可以帮助您确定申请人在与他们签订合同期间的长期生存能力。 考虑诸如财务实力、员工流失率、历史增长、扩张计划以及其他相关因素。同时,自我评估是否可能受到近期或潜在合并与收购所引发的任何干扰的影响。 确保员工在工作和家庭中的安全 最终,网络安全归结于个人的责任感。作为人力资源专业人士,您的职责在于确保员工了解自身在维护组织安全方面所应承担的期望,以防止您的企业成为安全漏洞新闻头条。同时,您也负有责任确保员工在家或使用个人设备时的网络习惯,避免他们陷入可能危及工作生活的困境。被盗用的身份和被入侵的银行账户可能会引发对个人和团队生产力产生重大影响的压力。 保护合作伙伴:作为培训师和自 然沟通者,您是在工作和家庭中保护员工的宝贵合作伙伴。 作为人力资源专业人士,您具备独特资质来为员工提供他们在工作和家中保持安全所需的培训。但,从何开始呢?坦率地说,您可以向员工提供数百条建议。但这会让人感到不知所措,并导致员工行为几乎没有改变。更糟糕的是,这可能会彻底使他们对网络安全失去兴趣,反而更加不关心。 但是5是一个可以管理的数字。以下是我们的主要建议: ,20210 1.慢下来思考 无论是工作时间内还是工作时间外,技术并未为我们带来放慢脚步的好处。而坏人正是利用了这一点。这就是为什么在第一章中我们介绍了雇主赞助的虚假钓鱼活动能够发挥作用的原因所在。 不放慢脚步和思考可能会在办公室和家中造成灾难-而且可能在眨眼之间发生。您无法“取消点击”已安装病毒的链接,也无法“取消触摸”发送银行详细信息至未知位置的图标。 慢点。想想。 遇到疑问?行动前先提问。尤其是在信息听起来过于理想、传递紧迫感或来源于你认识的人时。放慢脚步,思考,提问 。 2.使用长密码 这里有一些有趣的东西。谷歌“正确的马电池钉”一个伟大的漫画关于密码长度和复杂性。剧透:计算机需要550年的时间才能猜测这四个简单单词的字符串是您工作 电子邮件的关键。 相比之下,一个包含数字和符号的11字符密码仅需三天就能被猜出。实际上,在计算机猜出该密码之前,你很可能就会忘记它。但“正确马电池紧固件”呢?你甚至可能不需要写下这个密码。 ,20211 3.确保您的密码安全 将密码保存在记忆中是最安全的地方。然而,使用相同的密码为多个账号服务却是有风险的,这使得我们在工作和私人生活中不得不记忆成百上千个不同的密码,从而面临挑战。 使用密码管理器可以提供帮助。这些简单而又安全的应用程序充当了