HR可以与IT和其他部门合作,提高远程工作者的安全意识,并帮助防止恶意网络攻击。今天远程工作的指数级增长使黑客很容易将易受攻击的端点作为目标。总部位于纽约的标准普尔全球市场情报公司451Research的高级研究分析师丹尼尔肯尼迪表示,虽然远程工作并不新鲜,但这样做的人数是前所未有的。提高员工意识是使公司成为没有吸引力的目标并阻止任何网络安全漏洞的关键。人力资源主管及其团队与IT部门合作,并在这种意识中发挥重要作用。人力资源团队可以遵循以下六种策略来实现这一目标。1.了解HR在安全意识方面的作用HR团队需要充分了解在家工作可能给公司带来的危险。“网络攻击者将使用端点软件漏洞、Web漏洞、电子邮件网络钓鱼和其他形式的社会工程来破坏端点,”Forrester安全和风险首席分析师HeidiShey说。安全意识很重要,它对于阻止网络安全攻击至关重要。“虽然企业可以采取措施保护端点、数据和网络访问,但这还不够,”Shey说。“他们还需要帮助员工了解远程工作的风险。”强大的安全措施。Shey说,人力资源和IT部门应该首先共同努力,为个人设备的使用制定清晰一致的政策。“如果他们出于工作目的使用个人设备,请清楚地向员工传达这意味着什么,”她说。“这可能意味着员工需要为IT下载并安装特定软件来管理设备,或者IT可以远程擦除他们的设备。”当员工了解使用个人设备工作意味着将一些隐私和控制权转移给他们的雇主时,他们可能会做出不同的设备决定。一些员工可能希望保持工作和个人之间的分离,选择不使用个人设备工作。”3.随时了解网络安全威胁黑客总是在改进和改进他们的攻击方法。但是,IT部门可以持续监控威胁态势并在攻击发生之前发现首选方法。IT和HR可以保持沟通渠道畅通,因此HR可以立即提高员工意识。网络钓鱼和网络入侵是在可预见的未来可能持续存在的两种最常见的威胁。网络钓鱼电子邮件诱使员工泄露他们的密码、访问代码和其他用户身份信息,攻击者使用这些信息来访问公司数据、资金和系统。“虽然我不认为网络钓鱼是一种新威胁,但对于在家工作的员工来说,新的变化正在涌现,其中一些非常有效,”肯尼迪说。例如,考虑一封引用联系人跟踪的电子邮件。它包含具有良好网络钓鱼活动的所有标志的响应,例如及时性、紧迫性、担忧或恐惧。”但不仅仅是电子邮件允许攻击者访问端点。他指出,家庭网络与企业网络有着根本的不同,因此更容易受到网络攻击。他说,弱端点的一个例子是带有管理界面的家庭路由器,可以通过默认密码或弱密码轻松访问。这可能会暴露企业防火墙通常不允许的服务。“Wi-Fi网络可能没有得到很好的保护,共享网络上的其他用户可能会有不同的行为,”肯尼迪说。例如,大多数员工在家度过漫长的一天后可能不会玩下载的游戏,但他们的孩子会玩。正在上映。”物联网还呈现出一系列不同的端点,这些端点对家庭网络构成的威胁比对商业网络构成的威胁更大。智能电视、手机和智能设备都是连接到家庭网络的设备示例。Shey说,平均每个人有六个联网设备。这意味着黑客有更多机会。“甚至在大流行之前,我们就已经看到消费者物联网设备如何增加攻击面,”Shey说。“但是,企业可以采取一些措施来有效缓解这些问题。”Kennedy说,“HR可以与首席信息安全官合作,讨论许多安全策略,从提高安全意识计划到重新审视员工笔记本电脑上的端点控制。”4.利用公关和营销专业知识当企业中的每一位员工都关心并理解这意味着什么以及如何改进时,网络安全在提高您的业务效率时才能发挥最大作用。这意味着HR和IT部门可能希望联系其他部门以帮助提高安全意识。尤其是公关和市场营销,具有有助于提高信息传递效率的技能。“一家公司的营销和公共关系人员花费大量时间思考如何制作吸引注意力的信息,”肯尼迪说。“一些最引人注目的活动看起来像广告活动。”他说,不要害怕让这些专家参与该计划,以帮助撰写信息。5.注重HR和IT协作以实施安全控制HR和IT需要密切合作,在不增加员工负担的情况下提高安全性。“在充满不确定性和压力的时期,人力资源部门能做的最重要的事情就是同情并关注员工的体验,”Shey说。“在这种环境下,企业面临的主要安全风险是员工如何看待财务困境、对裁员的恐惧以及对雇主的不满,从而为内部威胁创造了理想的环境。”例如,糟糕的员工体验会激励员工响应变化而不是接受变化。员工可能经历的最常见反应之一是绕过或不支持控制。缺乏支持将使企业面临更多的网络攻击。“在部署安全技术控制时,员工有时会表现出轻率的态度,”肯尼迪说。“思考过程是,他们受制于企业所安排的一切;但[员工]的控制权往往比人们意识到的要多。”机构。”这意味着在推出新的安全控制措施时,IT确实需要依靠HR对员工体验的洞察。“人力资源和IT应该考虑推出这些控制措施,虽然不是完全在向客户或客户推出某些东西的水平,但更接近那个水平,”肯尼迪说,并表示有一些方法可以推动用户采用。以下是一些可以提供帮助的建议:在推出任何安全控制措施之前仔细测试它们的可用性。彻底解释控制的原因和目标,例如意识培训。对有关控件产生的摩擦或使用户的工作更加困难的反馈持开放态度。权衡这种摩擦与减轻的风险,并决定是否应该继续或是否应该调整控制措施。6.吸引个人兴趣营销的主要规则是了解你的受众并引起他们的注意。由于安全问题与任何个人问题都如此遥远,因此HR需要加倍努力,将安全问题与受众关心的问题联系起来。“有很多方法可以让员工了解网络安全的重要性及其运作方式,”国际律师事务所ClarkHill的就业和网络安全律师查尔斯拉斯曼说。“最关键的两个是高管的个性化和参与。”他说,个性化意味着向员工解释网络安全不仅对业务连续性至关重要,而且对保护他们自己的数据以及公司拥有的有关家庭成员的数据(例如公司健康计划中的数据)也很重要。当员工了解他们和家人的安全受到威胁时,他们更有可能保持警惕。解释为什么员工必须采取特定的安全措施——以及如果不采取这些措施可能造成的伤害——通常比简单地张贴关于如何采取各种安全预防措施的说明更有效。“确保员工了解安全措施背后的原因,遇到问题时会发生什么以及与谁联系,”Shey说。
