隨著黑客的發(fā)明性日漸豐富,并且全球頒布了數(shù)據(jù)隱私法律����,HR領(lǐng)導(dǎo)者面臨著保護(hù)和存儲(chǔ)敏感的HR數(shù)據(jù)但又不減少員工使用該數(shù)據(jù)做出及時(shí)的員工決策能力的挑戰(zhàn)。
但是�,可能沒有足夠的網(wǎng)絡(luò)安全同事來尋求建議和技術(shù)援助,這加劇了這些挑戰(zhàn)���。根據(jù)(ISC)2開展的2019年網(wǎng)絡(luò)安全勞動(dòng)力研究�����,大約65%的公司報(bào)告說網(wǎng)絡(luò)安全人員短缺�,這是一個(gè)國(guó)際非營(yíng)利性IT專業(yè)人員協(xié)會(huì)�。結(jié)果,越來越多的公司開始轉(zhuǎn)向不需要人工干預(yù)的安全策略����,例如由人工智能(AI)驅(qū)動(dòng)的網(wǎng)絡(luò)安全,可以主動(dòng)監(jiān)視和消除新型的網(wǎng)絡(luò)威脅���。
更加復(fù)雜的攻擊的新策略
研究表明���,對(duì)數(shù)據(jù)安全的擔(dān)憂正在占用更多人力資源主管的時(shí)間和資源。2019-2020年Sierra-Cedar人力資源系統(tǒng)調(diào)查發(fā)現(xiàn)�����,部署網(wǎng)絡(luò)安全策略的受訪者數(shù)量比上年調(diào)查增加了17%��,其中70%的人力資源組織表示已制定并定期更新該策略����。這是個(gè)好消息,因?yàn)槁?lián)邦調(diào)查局(FBI)報(bào)告稱����,2018年收到了35萬起互聯(lián)網(wǎng)犯罪投訴,五年來增長(zhǎng)了23%��。這些犯罪估計(jì)造成了27億美元的財(cái)務(wù)損失���。
安全專家說�,諸如薪資信息���,社會(huì)保險(xiǎn)號(hào)和內(nèi)部調(diào)查或員工評(píng)估記錄之類的敏感數(shù)據(jù)的丟失所帶來的影響遠(yuǎn)遠(yuǎn)超出了人事部門��。
加州圣塔克拉拉市網(wǎng)絡(luò)安全公司Idaptive的營(yíng)銷和戰(zhàn)略副總裁Corey Williams表示:“當(dāng)HR系統(tǒng)遭到破壞時(shí)�,它不僅僅只是被竊取的個(gè)人數(shù)據(jù),因?yàn)镠R對(duì)于整個(gè)組織的眾多流程至關(guān)重要���。” “ HR系統(tǒng)是整個(gè)組織中大多數(shù)員工訪問的起點(diǎn)�����。HR數(shù)據(jù)不像其他數(shù)據(jù)那樣位于孤島上����,當(dāng)您在HR級(jí)別上存在漏洞時(shí)���,就會(huì)使整個(gè)企業(yè)面臨更大的風(fēng)險(xiǎn)�����。攻擊��。”
人工智能驅(qū)動(dòng)的安全工具代表了一種新的方法來應(yīng)對(duì)人力資源數(shù)據(jù)的威脅���。盡管不是萬能藥����,但這些技術(shù)可以防御由自動(dòng)化惡意軟件驅(qū)動(dòng)的惡意攻擊�,并具有模式識(shí)別等功能,可以識(shí)別可疑行為并實(shí)時(shí)阻止?jié)撛趩栴}或威脅在線流量����。
為了防止內(nèi)部威脅(無論是惡意威脅還是來自未遵循正確安全實(shí)踐的工作人員的威脅)����,可以對(duì)一些基于AI的網(wǎng)絡(luò)安全工具進(jìn)行培訓(xùn),以學(xué)習(xí)使用公司網(wǎng)絡(luò)時(shí)員工的行為��。研究表明�,此類威脅是一個(gè)日益嚴(yán)重的問題。根據(jù)總部位于馬薩諸塞州劍橋市的Forrester Research的最新基準(zhǔn)研究���,內(nèi)部人員在2019年報(bào)告的組織中造成了48%的數(shù)據(jù)泄露�����,高于2015年總數(shù)據(jù)泄露的26%����。
越來越多的公司正在采用“零信任”策略,這些策略具有對(duì)網(wǎng)絡(luò)訪問或身份驗(yàn)證采用“永不信任�,始終驗(yàn)證”的方法,并采用了諸如多因素身份驗(yàn)證(MFA)等工具�。MFA是通過至少兩個(gè)不同因素來確認(rèn)用戶身份的方法。根據(jù)Sierra-Cedar的調(diào)查�,去年,大型組織將MFA的使用增加了20%���,大約有55%的小型組織報(bào)告將MFA用于人力資源應(yīng)用�����。
威廉姆斯說����,用戶憑證被盜或薄弱仍然是組織中數(shù)據(jù)泄露的主要原因�����。威廉姆斯說:“我們已經(jīng)看到密碼和憑據(jù)被盜的方式越來越復(fù)雜��。” “其中包括惡意軟件���,黑客編寫了更具說服力的網(wǎng)絡(luò)釣魚電子郵件���,誘使員工單擊有害鏈接��,以及其他方法�。公司發(fā)現(xiàn)�,僅依靠密碼進(jìn)行訪問就變得站不住腳了。”
通過用戶體驗(yàn)平衡安全性
人力資源主管必須在采取正確的數(shù)據(jù)安全措施與確保員工仍然可以以高效且用戶友好的方式使用人力資源網(wǎng)絡(luò)和軟件之間取得平衡�,理想情況下,這種平衡不會(huì)使員工感到過度監(jiān)控或戴上手銬技術(shù)�。
威廉姆斯說:“安全性通常被視為搖搖欲墜��,在這里您要么提高數(shù)據(jù)安全性��,要么正在改善技術(shù)的用戶體驗(yàn)����。” “但是這不一定非要不然�����。”
例如,通常以相同方式訪問相同公司網(wǎng)絡(luò)或應(yīng)用程序的員工可能不需要額外的安全監(jiān)督�����,但是從從未去過的國(guó)家(使用其他設(shè)備)訪問同一系統(tǒng)的人將需要更多控制����。
威廉姆斯說:“在應(yīng)用安全工具將高風(fēng)險(xiǎn)與低風(fēng)險(xiǎn)的系統(tǒng)訪問區(qū)分開來方面,我們看到了更多的創(chuàng)新�。”
專家說,人力資源主管還可以通過鼓勵(lì)其公司重新評(píng)估用戶訪問策略來幫助增強(qiáng)安全性�。威廉姆斯說:“隨著人們?cè)诠局虚L(zhǎng)期工作,他們往往會(huì)積累對(duì)系統(tǒng)的訪問權(quán)��,而隨著他們?cè)诠緝?nèi)部或周圍移動(dòng)���,訪問權(quán)并不一定會(huì)被剝奪。” “在訪問系統(tǒng)中的敏感數(shù)據(jù)方面��,員工經(jīng)常'超額配置'�,這會(huì)給公司帶來更大的脆弱性。” 他說�,與員工生命周期管理相關(guān)的自動(dòng)化流程可以確保隨著人們改變公司角色而改變或刪除系統(tǒng)訪問權(quán)限。
舊金山的網(wǎng)絡(luò)安全公司Cloudflare的首席技術(shù)官James Graham-Cumming說����,更加明智地授予數(shù)據(jù)訪問權(quán)限是明智的����,但有時(shí)卻被忽略了���。Graham-Cumming說:“公司的首席執(zhí)行官或其他高級(jí)領(lǐng)導(dǎo)者可以訪問所有或大多數(shù)公司系統(tǒng)�,這并不罕見����,因?yàn)樗麄冎皇怯X得需要這種訪問��。” “然而���,這些人通常是黑客攻擊的目標(biāo)����,甚至是更為知名的甚至是公眾人物。現(xiàn)實(shí)情況是�����,您的最高管理層或副總裁可能不需要訪問所有系統(tǒng)�����。”
管理供應(yīng)商風(fēng)險(xiǎn)
隨著人力資源部門向其生態(tài)系統(tǒng)添加更多技術(shù)平臺(tái)并與第三方提供商建立更多集成�����,數(shù)據(jù)安全和隱私威脅可能會(huì)越來越大���。研究和咨詢公司Gartner的最新研究發(fā)現(xiàn),由于人力資本管理系統(tǒng)的構(gòu)建是為了與許多第三方服務(wù)(例如LinkedIn)集成��,因此這些集成可以通過“錯(cuò)誤配置”使組織面臨風(fēng)險(xiǎn)����,從而導(dǎo)致意外數(shù)據(jù)泄漏。Gartner的研究發(fā)現(xiàn)����,取決于集成程度,供應(yīng)商系統(tǒng)中的安全問題可能會(huì)為攻擊者打開大門���,就像2014年零售商Target一樣��。
安全專家表示���,人力資源主管應(yīng)確保供應(yīng)商擁有最佳實(shí)踐的數(shù)據(jù)安全性和隱私協(xié)議,例如MFA��,同時(shí)還要通過外部服務(wù)組織控制或SOC 2審核,以確認(rèn)他們遵守建議的操作規(guī)范用于數(shù)據(jù)安全�����,處理完整性�����,確保隱私等�。
舊金山的網(wǎng)絡(luò)安全公司MobileIron的首席官員Jared Lucas表示����,與安全相關(guān)的員工培訓(xùn)比以往任何時(shí)候都更加重要,因?yàn)閻阂廛浖兊迷絹碓綇?fù)雜�,網(wǎng)絡(luò)釣魚攻擊越來越多,而不良行為者也使用了AI驅(qū)動(dòng)的方法來入侵公司系統(tǒng)�。
盧卡斯說:“有效的��,定期更新的尋找和警告方面的培訓(xùn)可以彌補(bǔ)公司數(shù)據(jù)安全戰(zhàn)略中的許多漏洞�。”
2020-02-11 10:07:14 
