人力資源可以與IT和其他部門合作，提高遠程工作人員的安全意識并幫助防止惡意網絡攻擊。以下是實現這一目標的六種方法。

遠程工作的指數級增長給黑客帶來了大量易受攻擊的端點。

[[422641]]

位于紐約的標準普爾全球市場情報公司451Research的高級研究分析師DanielKennedy表示，雖然遠程工作并不新鮮，但遠程工作的人數比例是前所未有的。

提高員工意識是使公司成為一個沒有吸引力的目標并阻止任何網絡安全漏洞的關鍵。人力資源領導和他們的團隊——與IT合作——在這種意識中扮演著重要的角色。

人力資源團隊可以遵循以下六種策略來實現這一目標。

1. 了解HR在安全意識中的作用

人力資源團隊需要充分了解在家工作可能給公司帶來的危險。

Forrester安全和風險首席分析師HeidiShey表示：“攻擊者將利用端點軟件漏洞、網絡攻擊、電子郵件網絡釣魚和其他形式的社會工程來破壞端點。”

HR的參與對于提高員工安全意識至關重要，這對于阻止網絡安全攻擊至關重要。

“雖然公司可以采取措施保護端點、數據和網絡訪問，但這還不夠，”Shey說。“他們還需要幫助引導員工了解遠程工作的風險。”

2. 調整個人設備安全策略

危機時期需要新的、更強大的安全措施。

Shey說，HR和IT應該首先合作，為個人設備的使用制定明確且一致的政策。

她說：“向員工明確說明他們將個人設備用于工作目的意味著什么。”“這可能意味著員工需要為IT下載和安裝特定軟件來管理設備，或者IT能夠遠程擦除他們的設備。”

當員工了解使用個人設備進行工作意味著將某些隱私權和控制權拱手讓給雇主時，他們可能會做出不同的設備決定。

“一些員工可能希望將工作和個人生活分開，因此選擇不將個人設備用于工作目的，”謝伊說。

3. 隨時了解網絡安全威脅

黑客總是在改進和改進他們的攻擊模式。但是，IT可以持續監控威脅形勢并在攻擊前發現首選方法。IT和HR可以保持開放的溝通渠道，因此HR可以立即提高員工的意識。

在可預見的未來可能會持續存在的兩種最常見威脅是網絡釣魚和網絡入侵。

網絡釣魚電子郵件誘騙員工泄露他們的密碼、訪問代碼和其他用戶識別信息，攻擊者利用這些信息訪問公司數據、資金和系統。

“[雖然]我不認為[網絡釣魚]是一種新威脅，針對在家工作的員工的新變種正在出現，其中一些非常有效，”肯尼迪說。

“例如，想想一封提到接觸者追蹤的電子郵件，”他說。“它包含一個好的網絡釣魚計劃的所有特征——[它]及時[和]緊急，并且[它]產生基于擔憂或恐懼的響應。”

然而，不僅僅是電子郵件允許攻擊者出口到端點。

肯尼迪說，家庭網絡與企業網絡有著根本的不同，因此更容易受到攻擊。

他說，弱端點的一個例子是通過默認或弱密碼可輕松訪問管理界面的家庭路由器。

這可能會暴露企業防火墻通常不允許的服務。

“Wi-Fi網絡可能沒有得到有效保護，共享網絡上的其他用戶的行為是不同的，”肯尼迪說。“例如，您的大多數辦公室同事在完成一天的工作后可能不會玩下載的游戲，但[他們的]孩子會。”

物聯網還提供了一系列不同的端點，對家庭網絡的威脅比對商業網絡的威脅更大。智能電視、手機和智能電器都是連接到家庭網絡的設備的例子。

Shey說，每人有六臺聯網設備，這對黑客來說意味著更多的機會。

“甚至在大流行之前，我們就看到消費者物聯網設備如何增加攻擊面，”Shey說。

但是，公司可以采取一些措施來有效緩解這些問題。

“人力資源部門可以與[首席信息安全官]合作，集思廣益，從提高安全意識舉措到重新審視員工筆記本電腦上的端點控制，集思廣益，”肯尼迪說。

4. 利用公關和營銷的專業知識

當公司中的每個人都關心并準確了解網絡安全是什么以及如何提高公司效率時，網絡安全才能發揮最佳效果。這意味著HR和IT可能希望聯系其他部門以幫助提高安全意識。

特別是，公關和營銷部門擁有幫助提高消息傳遞效率的技能。“一家公司的營銷和公關人員一天中的大部分時間都在思考如何制作吸引注意力的信息，”肯尼迪說。“一些最好的宣傳活動看起來像廣告活動。”

他說，不要害怕讓這些專家參與該計劃來幫助制作消息傳遞。

5. 專注于安全控制部署的人力資源和IT協作

HR和IT需要密切合作以提高安全性，同時又不會讓員工負擔過重。“在這個充滿不確定性和員工壓力的時期，人力資源部門可以做的最重要的事情就是同情并關注員工體驗，”謝伊說。

“在這種環境下，公司的一個主要[安全]風險是他們如何將員工視為財務困境，擔心裁員以及對雇主的不滿為內部威脅創造了完美的環境。”例如，糟糕的員工體驗會激勵員工對抗變革，而不是接受變革。員工可能有的更常見的反應之一是圍繞控制工作或不支持控制。缺乏支持將使公司面臨更多網絡攻擊。

“在推出安全技術控制措施時，員工有時會被忽視，”肯尼迪說。

“思維過程是他們受制于企業實施的任何事情;然而，[員工]通常擁有比人們意識到的更多的能動性。”這意味著IT在推出新的安全控制措施時確實需要依靠HR對員工體驗的洞察。“人力資源和IT[應該]將這些控制的推出視為——雖然不是向客戶或客戶推出某些東西的水平——更接近那個水平，”肯尼迪說?？夏岬险f，有一些方法可以促進用戶采用。以下是一些可以提供幫助的想法：

• 在推出之前仔細測試任何安全控制的可用性。•徹底解釋推理和控制旨在解決的問題，例如意識培訓。
• 對控件造成的摩擦或它如何使用戶的工作更加困難的反饋持開放態度。
• 權衡摩擦與正在減輕的風險，并決定是否應繼續或是否應調整控制。

6. 訴諸個人利益營銷的主要規則是了解受眾并吸引他們的關注

由于安全問題可能與任何個人問題無關，因此HR需要加倍努力，將安全與受眾關心的事情聯系起來。

“有很多方法可以教育員工網絡安全的重要性以及網絡安全的工作原理，”國際律師事務所克拉克希爾的就業和網絡安全律師查爾斯•拉斯曼說。

“最關鍵的兩個因素是高管的個性化和參與。”

他說，個性化意味著向員工解釋網絡安全不僅對業務連續性至關重要，而且還可以保護他們自己的數據以及公司擁有的有關其家庭成員的數據，例如公司健康計劃中的數據。

當員工了解自己的安全和家人的安全處于危險之中時，他們更有可能保持警惕。

解釋為什么員工必須采取特定的安全措施——以及不這樣做可能導致的危害——往往比簡單地發布關于如何采取各種安全預防措施的說明更有效。

“確保員工了解安全措施背后的原因、他們應該做什么以及如果他們有問題或疑問應該聯系誰，”Shey說。