在員工越來越關注個人身份安全的同時，身份盜竊和網絡釣魚攻擊的發生率繼續飆升。自2018年以來，身份盜竊案件的數量增加了兩倍多，而在COVID-19檢疫期間，網絡釣魚攻擊增長了高達350%。最關鍵的是，在最近的一項研究中，38%的受訪者表示，他們的同事在過去一年中成為網絡釣魚攻擊的受害者。

[[396325]]

這種悖論的出現是因為大多數個人信息保護解決方案的被動性以及對其為企業帶來的好處的誤解。與其說是網絡保護，許多身份盜竊和信用監控解決方案所提供的實際服務更類似于補救措施。

因此，身份盜竊和信用監控幾乎沒有為員工或其組織增加個人數據安全。根據我們與各個領域的企業CSO合作的經驗，我們甚至發現，過度依賴這類服務的公司經常會在網絡威脅面前變得更加脆弱，而不是更加脆弱。雇主越是覺得受到無效系統的保護，員工就越有可能偏離網絡衛生的基本原則。

隨著更強大的惡意軟件、不斷收緊的監管環境和更高的消費者安全意識提高了組織網絡安全的風險，了解個人數據監控如何影響網絡安全從未像現在這樣重要。

識別員工在線私人數據造成的安全漏洞

隨著真正的保護和虛假的安全之間的差距越來越大，企業需要嚴格評估他們的個人信息安全態勢。隨著威脅者使用的社會工程騙局的不斷發展，弄清楚什么是保護員工隱私的有效方法變得越來越重要。

魚叉式網絡釣魚等技術的出現表明，網絡犯罪分子如何利用個人信息來提高網絡釣魚攻擊的可信度。如果網絡犯罪分子能夠找到企業網絡中某個人的家庭住址、全名或婚姻狀況，那么制作一封令人信服的網絡釣魚郵件就變得容易得多。通過利用高管的個人信息來獲得公司高層人士的信任，這種做法被稱為 "捕鯨"，網絡犯罪分子可以迅速發起破壞性的網絡攻擊。

2016年，在對社交媒體公司Snapchat的攻擊中，網絡犯罪分子冒充其首席執行官以獲得高管的信任，導致了員工工資信息的大規模泄露。同樣，奧地利航空航天公司FACC的首席執行官因成為捕鯨攻擊的受害者而損失了近6000萬美元后被解雇。

令人擔憂的是，威脅者用來促進這類攻擊的個人信息是很容易獲得的。無論是作為數據泄露的結果，還是更頻繁地通過數據經紀人和人員搜索網站整理的公開信息，員工的個人信息往往很容易獲得。

隨著大多數美國公司對員工使用社交媒體的網絡安全影響的關注，員工本身也可能成為造成個人信息安全漏洞的連環殺手。

個人信息安全解決方案格局

為了應對個人信息帶來的日益增長的威脅，信息保護解決方案的市場正在迅速擴大，預計未來6年的復合年增長率(CAGR)將達到13%。

然而，許多組織渴望為員工提供更多的保護，作為企業福利方案的一部分，但卻不清楚這種保護究竟是如何運作的。為了幫助澄清這個問題，將信息安全解決方案視為屬于三個主要類別之一是很有幫助的。

1.信用監控

通過掃描三大信用監測機構--Equifax、TransUnion和Experian--的個人信用文件的變化，信用監測服務使個人能夠在一個地方關注他們的信用評分。

雖然任何人都可以自己檢查他們的信用分數，但付費的信用監測服務使這個過程自動化，使個人更容易跟蹤變化。

對于雇員來說，信用監測作為工作場所福利的優勢在于能夠注意到他們的信用分數的突然變化，這表明他們是欺詐的受害者。

2.身份盜竊保護

與信用監測服務一樣，身份盜竊保護解決方案最好被認為是個人信息的保險政策。然而，由Identity Guard、Norton和OneRep等供應商提供的這類產品，不僅僅是查看個人的信用分數，還更進一步。

除了進行信用檢查外，身份盜竊保護還對法院記錄、貸款申請和公用事業訂單等事項進行了更全面的檢查，以了解個人的個人信息是否被欺詐性地使用。

隨著身份盜竊影響到創紀錄的美國人，身份盜竊保護現在是一個受歡迎的選擇性福利。

3.隱私保護

信用監控和身份盜竊保護服務提供了保險，即如果員工的信息被濫用，他們會得到通知，但它們對提高企業的網絡安全沒有什么作用。

當員工從這些服務中看到真正的好處時，他們的數據已經暴露，并給他們的雇主帶來了新的網絡安全風險。信用和身份保護的被動性也意味著，雖然個人可以更快、更容易地發現和補救欺詐行為，但個人數據暴露的問題仍然突出。

像DeleteMe提供的服務一樣，隱私保護解決方案致力于解決個人數據暴露問題的根源。通過尋找和消除個人的個人和專業數據的不必要的暴露，主動的隱私保護首先大大降低了欺詐發生的可能性。

對于企業來說，這種解決方案還可以通過最大限度地減少員工個人信息的泄露來加強網絡安全，并反過來從威脅者手中奪走寶貴的彈藥。

在你的組織中制定一個積極的個人信息隱私的方法

雖然每一種解決方案都有它的位置，但對員工個人信息的真正保護來自于一個分層的方法。

在最基本的層面上，員工需要接受實際培訓，了解如何在工作和家庭中盡量減少他們的個人信息足跡。除了強調對個人信息采取不安全方法的潛在安全風險外，有效的培訓還應該向員工展示隱私帶來的好處(即減少垃圾郵件和提高個人安全)。

然而，僅靠培訓是很少有效的。雖然定期培訓很關鍵，但教員工如何發現社會工程騙局的安全意識培訓項目通常在幾個月內就會被遺忘，需要不斷加強才能保持效果。

在培訓的基礎上，員工的個人信息也應該通過主動的個人信息檢索和刪除服務來保護。歸根結底，保護員工和企業免受那種利用個人信息的欺詐的最好方法是在源頭上切斷個人數據的供應。

信用監控和身份保護服務可以構成積極主動方法的第三層。雖然這些服務對提高企業安全沒有什么作用，但它們可以幫助讓員工放心，如果他們的數據被濫用，他們會在問題失去控制之前發現。

寫在最后

即使它沒有出現在企業的資產負債表上，員工的個人信息也是企業的寶貴資產。隨著90%以上的企業經常遭遇有針對性的網絡釣魚攻擊，最大限度地減少員工數據暴露需要成為每個企業安全態勢的關鍵部分。

然而，企業需要創建一個分層的、主動的解決方案，提供真正的安全價值，而不是向員工提供只在事后發揮作用的解決方案。員工隱私太重要了，不能只停留在個人問題上。