Forrester:2020年內部威脅管理面臨拐點
責編:gltian |2020-01-07 15:20:27不成熟不合理的內部人員威脅管理項目可能會導致員工與公司的疏離。
絕大多數公司已經著手建立內部威脅管理程序,但是大多數公司面對員工造成的風險,依然缺乏成熟的處理流程。
例如,在去年發布的《內部威脅報告》中,盡管 86% 的組織已著手部署內部威脅管理項目,但大多數組織仍停留在政策和計劃制定階段,只有三分之一的公司認為其內部威脅管理程序已經成熟。
在本周發表的研究論文中,Forrester 研究副總裁約瑟夫·布蘭肯希 (Joseph Blankenship) 表示,內部威脅項目可能違反新的隱私法,而且更為嚴苛的程序則可能會削弱員工績效。
如果您的方法不正確,而該員工離職并請了律師,您就容易遭受傷害。因此,找到正確的響應并保護員工的隱私是內部威脅計劃最重要的方面。
Blankenship 認為:2020 年許多公司的內部威脅管理不僅將關注如何降低風險,而且還會兼顧隱私、透明性和員工滿意度。
目前,盡管大多數金融服務公司和任何處理敏感數據的公司可能已經具備成熟的程序來檢測內部人濫用行為,但其他大多數公司的準備工作卻不夠完善。
2020 年,將是企業把內部威脅功能從臨時措施變為可重復和可改進流程的一年。
在客戶詢問不斷增加的推動下,Forrester 進行了研究,發現不同的企業需要不同的方法來應對內部威脅。與必須保護支付卡數據的零售商相比,軍事承包商有著不同的風險狀況和內部威脅程序。
就其本質而言,內部威脅管理程序將員工視為潛在威脅,但組織需要與員工合作,并將其放在首位。
透明度是關鍵
根據 Forrester 的報告,透明度是關鍵。組織需要明確定義其計劃以及員工在幫助公司獲得其寶貴資產方面所扮演的角色。根據歐盟的《通用數據保護條例》 (GDPR) 和加利福尼亞的《消費者隱私法》 (CCPA),員工有權被告知雇主如何使用其信息,有權更正不正確的信息以及被遺忘的權利。
通過通知員工公司收集的信息以及收集的目的是什么,組織可以對員工進行教育,并使他們成為團隊的一部分。根據 Crowd Research Partners 的內部威脅報告,大約 82% 的公司對員工進行了有關如何最大程度地降低網絡安全風險的培訓。
除了教育外,公司還需要確保總體上的安全程序(尤其是內部威脅程序)不會損害生產力。根據 Forrester 的報告,大約 7% 的信息工作者繞過公司的安全策略,常見的借口包括:影響工作效率 (39%),或安全策略的限制不合理 (34%)。
安全人員可能會認為這是一個人力資源問題,但事實并非如此。
適當的培訓和使用跨職能的團隊制定政策可以提供幫助。Blankenship 表示,但最重要的是公司如何響應任何潛在的惡意或破壞性行為。
上一篇:可信開源硬件是條死胡同?
下一篇:高效漏洞管理的七項基本原則