一项新的研究表明,安全团队必须全面了解网络安全,合规性,技术和人力资源,才能真正解决由员工带来的风险对业务的影响。
很多公司抱着 “内部威胁不会出现在我们这里” 的心态,因为他们相信自己雇佣了最优秀、最诚实和最值得信任的员工。 鉴于多年前进行的员工调查,一开始情况可能如此。但是后来,随着个人生活中出现多重压力,例如离婚,酒驾,或者因为其他原因被逮捕,破产,留置权问题,情况会发生变化。
大多数时候,这些压力源来自外部,雇主们注意不到。在某些情况下,这些压力会导致员工做出扰乱内部安全的行动,使组织机构面临风险,即使高管们对个人情况一无所知。
最近出现了很多有关员工的事件,这些员工问题对大型企业的财务和声誉产生了负面影响:
- 一名前Goodwill员工通过伪造工资单记录,从该慈善机构偷走了93,000美元。
- 一名居心不良的员工闯入了特斯拉的制造操作系统,并向外部发送了高度敏感的数据。
- Uber的60人危机小组正在处理每周向该公司报告的1,200起严重事件,包括口头威胁,身体和性侵犯,强奸,盗窃和严重交通事故。
好消息是,很多安全主管已经开始意识到内部员工可能带来的风险。根据Endera最近对200名安全主管进行的调查,平均而言,拥有1000名或以上员工的公司,每周至少会发生三起和员工相关的事件,即每年156起,其中包括欺诈、网络安全风险、职场暴力以及设备盗窃或丢失。这份报告中的几个关键趋势也强调了安全主管需要对此进行更深入地了解并更积极主动面对这个问题。
1. 积极主动的安全文化
Endera的报告显示,88%的受访者认为,企业可以通过有效的政策执行和员工援助计划,主动防止问题发生,以留住人才,并营造一个积极、安全的工作环境。相反,在有关员工安全的事件发生后,近40%的受访者表示,员工对公司保障他们安全的能力失去了信心。
2. 供应链风险
在所有接受调查的安全管理人员中,有87%的人员表示,独立供应商/自由职业者最有可能造成员工相关的安全事件,例如欺诈和盗窃设备。同时64%的人表示,供应链/第三方供应商最有可能带来这些风险。报告还发现,71%的供应商与客户有过面对面沟通,包括那些依赖企业扩展来提供日常服务的供应商,如儿童看护、交通、医疗保健等。
3. 从更广阔、更全面的角度来看待威胁
有86%的受访者表示,设备盗窃或丢失是三大风险之最,其次是欺诈(80%)和网络安全威胁(74%)。十分之三(31%)的受访者表示,在过去12个月里,网络安全事件 (包括IP盗窃和数据丢失) 是他们所在组织机构面临的代价最高的内部或外部安全威胁。虽然关注网络威胁很重要,但安全主管也需要考虑职工带来的风险。
4. 员工风险带来的负面业务影响
绝大多数(98%)的安全主管报告,由于员工相关事件,他们的组织机构遭受了负面影响。例如,调查发现:
- 63%的受访者表示,他们经历过经济损失和敏感数据丢失。
- 60%的受访者表示,客户对公司的信任度下降,公司声誉受损。
- 59%的人表示,员工对企业保护员工安全的能力的信心下降,员工因此离开公司。
5. 入职前和入职后的员工调查
虽然在受访的组织机构中,有四分之三的组织机构表示在44%的情况下进行了入职前员工调查,但企业表示,在发生事故前没有发现潜在的员工或人事问题。略低于一半(48%)的受访者表示,会定期进行员工调查。那些通过防数据丢失工具使用内部数据,进行用户活动监测、通信监控,或键盘记录软件评估员工风险的组织机构中,十个中有四个受访者报告说,有时候不能快速获取相关信息。并且34%的受访者表示信息并不是最新的,而且不能覆盖所有数据,如正在进行的公共刑事或民事调查和处罚,或降低风险所需的许可证要求。大多数受访者表示,已经实施的员工调查,如背景调查或正在进行评估的频率较低,只有11%的受访者表示每月会进行一次调查,只有2%的受访者表示,他们的组织机构每天都会更新个人的外部背景调查结果。
通过了解所有风险因素,拥有能够主动评估、诊断和减轻员工带来的风险的能力是至关重要的。安全团队必须从被动式转向主动的风险管理方法,全面了解网络安全,合规性,技术和人力资源,才能真正解决由员工带来的风险对业务的影响。
相关阅读
