人力資源成網絡安全重要角色
責編:gltian |2022-11-01 13:55:14盡管旨在令公司運營以人為本,但人力資源(HR)部門也存在短板:他們往往無法與決定業務運營和網絡風險防護方式的IT部門及核心技術系統密切協同。
HR與IT流程之間不甚協調的現象仍舊十分普遍,可導致公司攻擊面上出現最為危險的安全漏洞。我們不妨仔細考察其間難點所在,找出關鍵網絡資產管理重點,從而彌合HR與IT之間的割裂,打造更加穩健的網絡安全態勢。
提升HR在確保企業安全中的作用
HR在企業安全工作中只負責教導員工保護好公司設備密碼的日子已經一去不復返了。當今威脅環境與勞動力息息相關,從自帶設備辦公(BYOD)和身份驗證缺陷,到用戶身上令魚叉式網絡釣魚看起來如此誘人的種種漏洞,無不昭示著員工本身就是網絡攻擊康莊大道這一事實。傳統社會工程攻擊如今還有零點擊漏洞利用的加持,能夠在無需用戶點擊鏈接或根本不用執行任何操作的情況下黑掉員工設備。
除了惡意威脅,甚至是常規HR流程都可能給公司引入風險,如果公司里HR和IT流程不夠協調的話。舉個例子,員工離職流程遠不止離職面談,還包括撤銷對多個企業系統、賬戶和設備的訪問權限,所有這些都需要HR和IT人員與系統的緊密配合。
想要更好地維護企業網絡安全,讓HR和IT部門有志一同地加深對網絡安全與風險緩解的正確理解就十分關鍵了。而這有賴于提高認知,了解HR流程對企業其他部門網絡資產的影響,以及HR在員工和承包商權限管理中的職能。這就要求資產可見性必須是持續而實時的,因為我們的職位、設備和數據及系統的訪問權限,在我們的工作過程中可能會發生多次變動。
加強HR與IT間網絡資產可見性和協同的三個重點
HR運營中涉及的諸多集成點和業務系統如果缺乏IT協同,會給公司帶來風險。我們必須提高業務流程的可見性和協同性,令HR運營與整個公司的IT資產保持一致。為此,需要重視以下三個方面:
- 提高HR人員的數據智商:特定領域業務分析師的數據素養非常重要,HR人員需要深刻理解這一點。越能理解自身工作在技術方面的影響,HR人員就越能在執行人員管理流程和策略時幫助保護IT資產。
- 將HR全面集成到IT資產中:HR部門和IT部門安全的統一重度依賴其各自業務流程的協同。理想狀況下,這種集成應該囊括在網絡資產管理領域中預定義特定于HR的合規框架,且此類框架要適用于所有現有及未來的網絡資產。同時,HR還應與IT部門明確協調員工的系統、文件、數據訪問權限問題。
- 自動化是基礎:HR想擴展自己在公司里的數字觸角延伸范圍,就免不了要依靠自動化。就以員工離職為例,尤其是在當前“大辭職”浪潮下,離職員工產生的多份IT工單可能會堆積起來,造成積壓,令公司面臨不必要的風險,除非引入自動化來更加快速地處理這些HR相關流程。
上述重點凸顯了網絡資產管理在HR和IT運營間的關鍵作用。遵循通用數據標準,規范云標記模式,以及實現其他網絡資產管理基本措施,能夠彌合和擴展HR與IT團隊的能力,讓二者無縫協同工作。而HR和IT充分協同的結果,就是更好的可見性與控制力,能夠明確HR與IT運營在何處以怎樣的方式相互影響,從而提高企業的整體安全狀況。
來源:數世咨詢