不成熟不合理的内部人员威胁管理项目可能会导致员工与公司的疏离。
绝大多数公司已经着手建立内部威胁管理程序,但是大多数公司面对员工造成的风险,依然缺乏成熟的处理流程。
例如,在去年发布的《内部威胁报告》中,尽管 86% 的组织已着手部署内部威胁管理项目,但大多数组织仍停留在政策和计划制定阶段,只有三分之一的公司认为其内部威胁管理程序已经成熟。
在本周发表的研究论文中,Forrester 研究副总裁约瑟夫·布兰肯希 (Joseph Blankenship) 表示,内部威胁项目可能违反新的隐私法,而且更为严苛的程序则可能会削弱员工绩效。
如果您的方法不正确,而该员工离职并请了律师,您就容易遭受伤害。因此,找到正确的响应并保护员工的隐私是内部威胁计划最重要的方面。
Blankenship 认为:2020 年许多公司的内部威胁管理不仅将关注如何降低风险,而且还会兼顾隐私、透明性和员工满意度。
目前,尽管大多数金融服务公司和任何处理敏感数据的公司可能已经具备成熟的程序来检测内部人滥用行为,但其他大多数公司的准备工作却不够完善。
2020 年,将是企业把内部威胁功能从临时措施变为可重复和可改进流程的一年。
在客户询问不断增加的推动下,Forrester 进行了研究,发现不同的企业需要不同的方法来应对内部威胁。与必须保护支付卡数据的零售商相比,军事承包商有着不同的风险状况和内部威胁程序。
就其本质而言,内部威胁管理程序将员工视为潜在威胁,但组织需要与员工合作,并将其放在首位。
透明度是关键
根据 Forrester 的报告,透明度是关键。组织需要明确定义其计划以及员工在帮助公司获得其宝贵资产方面所扮演的角色。根据欧盟的《通用数据保护条例》 (GDPR) 和加利福尼亚的《消费者隐私法》 (CCPA),员工有权被告知雇主如何使用其信息,有权更正不正确的信息以及被遗忘的权利。
通过通知员工公司收集的信息以及收集的目的是什么,组织可以对员工进行教育,并使他们成为团队的一部分。根据 Crowd Research Partners 的内部威胁报告,大约 82% 的公司对员工进行了有关如何最大程度地降低网络安全风险的培训。
除了教育外,公司还需要确保总体上的安全程序(尤其是内部威胁程序)不会损害生产力。根据 Forrester 的报告,大约 7% 的信息工作者绕过公司的安全策略,常见的借口包括:影响工作效率 (39%),或安全策略的限制不合理 (34%)。
安全人员可能会认为这是一个人力资源问题,但事实并非如此。
适当的培训和使用跨职能的团队制定政策可以提供帮助。Blankenship 表示,但最重要的是公司如何响应任何潜在的恶意或破坏性行为。