人力資源可以與IT和其他部門(mén)合作，以提高遠程工作人員的安全意識，并幫助防止惡意的網(wǎng)絡(luò )攻擊。

如今遠程工作的指數級增長(cháng)使黑客能夠輕松應對易受攻擊的端點(diǎn)。

總部位于紐約州標準普爾全球市場(chǎng)情報公司的451Research公司的高級研究分析師Daniel Kennedy表示，雖然遠程工作并不陌生，但遠程工作的人數卻是前所未有的。

提高員工的意識是使公司成為沒(méi)有吸引力的目標并阻止任何網(wǎng)絡(luò )安全漏洞的關(guān)鍵。人力資源領(lǐng)導者及其團隊與IT部門(mén)合作，并在這種意識中發(fā)揮著(zhù)重要作用。

人力資源團隊可以遵循以下六個(gè)策略來(lái)實(shí)現這一目標。

1.了解人力資源在安全意識中的作用

人力資源團隊需要充分了解在家工作可能給公司帶來(lái)的危險。

Forrester公司安全和風(fēng)險首席分析師Heidi Shey說(shuō)，“網(wǎng)絡(luò )攻擊者將利用端點(diǎn)軟件漏洞、Web漏洞、電子郵件網(wǎng)絡(luò )釣魚(yú)和其他形式的社會(huì )工程手段來(lái)危害端點(diǎn)，”

人力資源部門(mén)的參與對于提高員工的安全意識至關(guān)重要，而這對于阻止網(wǎng)絡(luò )安全攻擊至關(guān)重要。

Shey說(shuō)：“盡管企業(yè)可以采取措施保護端點(diǎn)、數據和網(wǎng)絡(luò )訪(fǎng)問(wèn)，但這還不夠。他們還需要幫助指導員工了解遠程工作的風(fēng)險。”

2.調整個(gè)人設備安全策略

危機時(shí)期需要采取新的，更強有力的安全措施。

Shey說(shuō)，人力資源和IT部門(mén)應首先共同努力，為使用個(gè)人設備制定清晰一致的政策。

她說(shuō)：“向員工清楚傳達如果他們將個(gè)人設備用于工作目的的含義。這可能意味著(zhù)員工需要下載并安裝特定的軟件以供IT部門(mén)管理設備，或者IT部門(mén)可以遠程擦除其設備。當工作人員了解使用個(gè)人設備進(jìn)行工作意味著(zhù)將某些隱私權和控制權轉讓給其雇主時(shí)，他們可能會(huì )做出不同的設備決定。有些員工可能希望保持工作與個(gè)人生活之間的隔離，并因此選擇不使用個(gè)人設備進(jìn)行工作。”

3.隨時(shí)了解網(wǎng)絡(luò )安全威脅

黑客一直在改進(jìn)和改進(jìn)其攻擊方式。但是，IT部門(mén)可以持續監控威脅情況，并在攻擊之前發(fā)現首選方法。IT和人力資源可以保持開(kāi)放的溝通渠道，因此人力資源可以立即提高員工的意識。

網(wǎng)絡(luò )釣魚(yú)和網(wǎng)絡(luò )入侵是在可預見(jiàn)的將來(lái)可能持續存在的兩個(gè)最常見(jiàn)的威脅。

仿冒電子郵件會(huì )誘騙員工泄露其密碼，訪(fǎng)問(wèn)代碼和其他用戶(hù)識別信息，攻擊者利用這些信息來(lái)訪(fǎng)問(wèn)公司數據，資金和系統。

Kennedy說(shuō)：“雖然我不認為網(wǎng)絡(luò )釣魚(yú)是一種新的威脅，但針對在家工作的員工的新變化正在彈出，并且有些變化非常有效。例如，考慮一封引用聯(lián)系人跟蹤的電子郵件。它包含良好的網(wǎng)絡(luò )釣魚(yú)方案的所有特征，例如及時(shí)、緊急、關(guān)注或恐懼而產(chǎn)生響應。”

但是，不只是電子郵件允許攻擊者進(jìn)入端點(diǎn)。

他指出，家庭網(wǎng)絡(luò )從根本上與企業(yè)網(wǎng)絡(luò )不同，因此更容易受到網(wǎng)絡(luò )攻擊。

他說(shuō)，弱端點(diǎn)的一個(gè)例子是具有通過(guò)默認或弱密碼容易訪(fǎng)問(wèn)的管理接口的家庭路由器。

這可以暴露企業(yè)防火墻通常不允許的服務(wù)。

Kennedy說(shuō)：“Wi-Fi網(wǎng)絡(luò )可能沒(méi)有得到有效的保護，共享網(wǎng)絡(luò )上其他用戶(hù)的行為也有所不同。例如，大多數員工在家完成一天的工作后可能不會(huì )玩下載的游戲，但是他們的孩子卻在玩。”

物聯(lián)網(wǎng)還提供了不同的端點(diǎn)陣列，對家庭網(wǎng)絡(luò )構成的威脅要大于對商業(yè)網(wǎng)絡(luò )的威脅。智能電視、移動(dòng)電話(huà)和智能設備都是連接到家庭網(wǎng)絡(luò )的設備的示例。

Shey說(shuō)，每個(gè)人平均有六個(gè)連接的設備。這對黑客來(lái)說(shuō)意味著(zhù)更多的機會(huì )。

Shey說(shuō)：“甚至在疫情發(fā)生之前，我們就已經(jīng)看到了消費者物聯(lián)網(wǎng)設備是如何增加攻擊面的。但是，企業(yè)可以采取一些措施來(lái)有效緩解這些問(wèn)題。”

Kennedy說(shuō)：“人力資源可以與首席信息安全官合作，討論許多安全策略，從提高安全意識計劃到重新審視員工筆記本電腦的端點(diǎn)控制。”

4.挖掘公關(guān)和營(yíng)銷(xiāo)專(zhuān)業(yè)知識

當企業(yè)的每個(gè)員工都在乎并準確了解其含義以及如何提高企業(yè)的效率時(shí)，網(wǎng)絡(luò )安全才能發(fā)揮最佳作用。這意味著(zhù)人力資源和IT部門(mén)可能希望與其他部門(mén)聯(lián)系，以尋求幫助來(lái)提高安全意識。

特別是公關(guān)和市場(chǎng)營(yíng)銷(xiāo)部門(mén)具有幫助提高消息傳遞效率的技能。

Kennedy說(shuō)，“一家公司的市場(chǎng)營(yíng)銷(xiāo)和公共關(guān)系人員花了很多時(shí)間在思考如何制作引起注意的信息。一些知名度最高的運動(dòng)看起來(lái)像廣告運動(dòng)。”

他說(shuō)，不要害怕讓這些專(zhuān)家參與該計劃，以幫助編寫(xiě)消息。

5.專(zhuān)注于人力資源和IT協(xié)作以實(shí)施安全控制

人力資源和信息技術(shù)將需要緊密合作，以提高安全性，而又不會(huì )增加員工負擔。

Shey說(shuō)：“在充滿(mǎn)不確定性和壓力的情況下，人力資源部可以做的最重要的事情就是移情并專(zhuān)注于員工的經(jīng)歷。在這種環(huán)境下，企業(yè)面臨的主要安全風(fēng)險是如何將員工視為財務(wù)困境，對裁員的恐懼和對雇主的不滿(mǎn)創(chuàng )造了內部威脅的理想環(huán)境。”

例如，糟糕的員工體驗會(huì )激勵員工去應對變化，而不是接受變化。員工可能會(huì )遇到的最常見(jiàn)的反應之一是圍繞控制工作或不支持控制。缺乏支持將使企業(yè)面臨更多的網(wǎng)絡(luò )攻擊。

Kennedy說(shuō)：“在部署安全技術(shù)控制方面，有時(shí)會(huì )給員工以輕率的態(tài)度。”“思考過(guò)程是，他們受制于企業(yè)所實(shí)施的一切;但是，[雇員]通常具有比人們意識到的更多的代理權。”

這意味著(zhù)在推出新的安全控制措施時(shí)，IT確實(shí)需要依靠HR對員工體驗的洞察力。

Kennedy說(shuō)，“人力資源和IT部門(mén)應該認為這些控件的推出，盡管還不完全是向客戶(hù)或客戶(hù)推出某些東西的級別，但更接近該級別。”

他表示，有一些方法可以促進(jìn)用戶(hù)采用。這里有一些建議可以提供幫助：

在推出之前，需要仔細測試任何安全控件的可用性。

徹底解釋其原因以及控制措施的目標，例如意識培訓。

對控件正在產(chǎn)生的摩擦或其使用戶(hù)的工作更加困難的反饋意見(jiàn)持開(kāi)放態(tài)度。

權衡該摩擦與減輕的風(fēng)險，并決定是否應繼續進(jìn)行或應調整控制措施。

6.呼吁個(gè)人利益

營(yíng)銷(xiāo)的主要規則是了解受眾并吸引他們的關(guān)注。由于安全問(wèn)題可能與任何個(gè)人關(guān)注問(wèn)題相距遙遠，因此人力資源部門(mén)需要加倍努力，以將安全問(wèn)題與受眾關(guān)心的事情聯(lián)系起來(lái)。

國際律師事務(wù)所ClarkHill的就業(yè)和網(wǎng)絡(luò )安全律師Charles Russman說(shuō)：“有很多方法可以教育員工網(wǎng)絡(luò )安全的重要性以及網(wǎng)絡(luò )安全的工作原理。最關(guān)鍵的兩個(gè)是高管的個(gè)性化和參與。”

他說(shuō)，個(gè)性化意味著(zhù)向員工解釋?zhuān)W(wǎng)絡(luò )安全不僅對于業(yè)務(wù)連續性至關(guān)重要，而且還可以保護自己的數據以及公司擁有的有關(guān)家庭成員的數據，例如企業(yè)健康計劃中的數據。

當員工了解自己的安全和家庭安全受到威脅時(shí)，他們更有可能保持警惕。

解釋為什么員工必須采取特定的安全措施-以及不采取措施可能造成的危害-往往比僅發(fā)布有關(guān)如何采取各種安全預防措施的說(shuō)明更為有效。

Shey說(shuō)：“確保員工了解安全措施背后的原因，期望做什么以及在遇到問(wèn)題時(shí)應與誰(shuí)聯(lián)系。”