內部威脅:比你想象的更常見
一項新的研究表明,安全團隊必須全面了解網絡安全,合規性,技術和人力資源,才能真正解決由員工帶來的風險對業務的影響。
很多公司抱著 “內部威脅不會出現在我們這里” 的心態,因為他們相信自己雇傭了最優秀、最誠實和最值得信任的員工。 鑒于多年前進行的員工調查,一開始情況可能如此。但是后來,隨著個人生活中出現多重壓力,例如離婚,酒駕,或者因為其他原因被逮捕,破產,留置權問題,情況會發生變化。
大多數時候,這些壓力源來自外部,雇主們注意不到。在某些情況下,這些壓力會導致員工做出擾亂內部安全的行動,使組織機構面臨風險,即使高管們對個人情況一無所知。
最近出現了很多有關員工的事件,這些員工問題對大型企業的財務和聲譽產生了負面影響:
- 一名前Goodwill員工通過偽造工資單記錄,從該慈善機構偷走了93,000美元。
- 一名居心不良的員工闖入了特斯拉的制造操作系統,并向外部發送了高度敏感的數據。
- Uber的60人危機小組正在處理每周向該公司報告的1,200起嚴重事件,包括口頭威脅,身體和性侵犯,強奸,盜竊和嚴重交通事故。
好消息是,很多安全主管已經開始意識到內部員工可能帶來的風險。根據Endera最近對200名安全主管進行的調查,平均而言,擁有1000名或以上員工的公司,每周至少會發生三起和員工相關的事件,即每年156起,其中包括欺詐、網絡安全風險、職場暴力以及設備盜竊或丟失。這份報告中的幾個關鍵趨勢也強調了安全主管需要對此進行更深入地了解并更積極主動面對這個問題。
1. 積極主動的安全文化
Endera的報告顯示,88%的受訪者認為,企業可以通過有效的政策執行和員工援助計劃,主動防止問題發生,以留住人才,并營造一個積極、安全的工作環境。相反,在有關員工安全的事件發生后,近40%的受訪者表示,員工對公司保障他們安全的能力失去了信心。
2. 供應鏈風險
在所有接受調查的安全管理人員中,有87%的人員表示,獨立供應商/自由職業者最有可能造成員工相關的安全事件,例如欺詐和盜竊設備。同時64%的人表示,供應鏈/第三方供應商最有可能帶來這些風險。報告還發現,71%的供應商與客戶有過面對面溝通,包括那些依賴企業擴展來提供日常服務的供應商,如兒童看護、交通、醫療保健等。
3. 從更廣闊、更全面的角度來看待威脅
有86%的受訪者表示,設備盜竊或丟失是三大風險之最,其次是欺詐(80%)和網絡安全威脅(74%)。十分之三(31%)的受訪者表示,在過去12個月里,網絡安全事件 (包括IP盜竊和數據丟失) 是他們所在組織機構面臨的代價最高的內部或外部安全威脅。雖然關注網絡威脅很重要,但安全主管也需要考慮職工帶來的風險。
4. 員工風險帶來的負面業務影響
絕大多數(98%)的安全主管報告,由于員工相關事件,他們的組織機構遭受了負面影響。例如,調查發現:
- 63%的受訪者表示,他們經歷過經濟損失和敏感數據丟失。
- 60%的受訪者表示,客戶對公司的信任度下降,公司聲譽受損。
- 59%的人表示,員工對企業保護員工安全的能力的信心下降,員工因此離開公司。
5. 入職前和入職后的員工調查
雖然在受訪的組織機構中,有四分之三的組織機構表示在44%的情況下進行了入職前員工調查,但企業表示,在發生事故前沒有發現潛在的員工或人事問題。略低于一半(48%)的受訪者表示,會定期進行員工調查。那些通過防數據丟失工具使用內部數據,進行用戶活動監測、通信監控,或鍵盤記錄軟件評估員工風險的組織機構中,十個中有四個受訪者報告說,有時候不能快速獲取相關信息。并且34%的受訪者表示信息并不是最新的,而且不能覆蓋所有數據,如正在進行的公共刑事或民事調查和處罰,或降低風險所需的許可證要求。大多數受訪者表示,已經實施的員工調查,如背景調查或正在進行評估的頻率較低,只有11%的受訪者表示每月會進行一次調查,只有2%的受訪者表示,他們的組織機構每天都會更新個人的外部背景調查結果。
通過了解所有風險因素,擁有能夠主動評估、診斷和減輕員工帶來的風險的能力是至關重要的。安全團隊必須從被動式轉向主動的風險管理方法,全面了解網絡安全,合規性,技術和人力資源,才能真正解決由員工帶來的風險對業務的影響。
【本文是51CTO專欄作者“李少鵬”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
