HR可以与IT和其他部门合作,提高远程工作人员的安全意识,并帮助防止恶意网络攻击。以下是实现这一目标的六种方法。远程工作的指数级增长为黑客创造了大量易受攻击的端点。纽约标普全球市场情报公司451Research的高级研究分析师丹尼尔肯尼迪表示,虽然远程工作并不新鲜,但远程工作的人数比例是前所未有的。提高员工意识是使公司成为没有吸引力的目标并阻止任何网络安全漏洞的关键。人力资源主管和他们的团队——与IT合作——在这种意识中发挥着重要作用。人力资源团队可以遵循以下六种策略来实现这一目标。1.了解HR在安全意识方面的作用HR团队需要充分了解在家工作可能给公司带来的危险。“对手将利用端点软件漏洞、网络攻击、电子邮件网络钓鱼和其他形式的社会工程来破坏端点,”Forrester安全和风险首席分析师HeidiShey说。对于阻止网络安全攻击至关重要。“虽然公司可以采取措施保护端点、数据和网络访问,但这还不够,”Shey说。“他们还需要帮助员工了解远程工作的风险。”2.调整个人设备安全政策危机时刻需要新的、更强大的安全措施。Shey说,HR和IT应该首先共同努力,为个人设备的使用制定清晰一致的政策。她说:“让员工清楚将个人设备用于工作目的对他们来说意味着什么。”“这可能意味着员工需要为IT下载并安装特定软件来管理设备,或者IT能够远程擦除他们的设备。”当员工明白使用个人设备工作意味着将一些隐私和控制权让给雇主时,他们可能会做出不同的设备决定。“一些员工可能希望将工作和个人生活分开,因此选择不将个人设备用于工作目的,”Shea说。3.随时了解网络安全威胁黑客总是在改进和改进他们的攻击模式。但是,IT可以持续监控威胁态势并在攻击发生之前发现首选方法。IT和HR可以保持沟通渠道畅通,因此HR可以立即提高员工意识。在可预见的未来可能持续存在的两种最常见威胁是网络钓鱼和网络入侵。网络钓鱼电子邮件诱使员工泄露他们的密码、访问代码和其他用户身份信息,攻击者使用这些信息来访问公司数据、资金和系统。“[虽然]我不认为[网络钓鱼]是一种新威胁,但针对在家工作的员工的新变体正在出现,其中一些非常有效,”肯尼迪说。“例如,想想一封提到联系人追踪的电子邮件,”他说。“它包含了一个好的网络钓鱼计划的所有特征——[它]及时[而且]紧急,[它]产生了一种担忧或基于恐惧的反应。”然而,不仅仅是电子邮件允许攻击者退出端点。肯尼迪说,家庭网络与企业网络有着根本的不同,因此更容易受到攻击。他说,弱端点的一个例子是家庭路由器,可以通过默认密码或弱密码轻松访问管理界面。这可能会暴露公司防火墙通常不允许的服务。“Wi-Fi网络可能没有得到很好的保护,共享网络上的其他用户的行为也有所不同,”肯尼迪说。“例如,你办公室的大多数同事可能不会在一天结束时玩下载的游戏,但[他们的]孩子会。”商业网络更具威胁性。智能电视、手机和智能电器都是连接到家庭网络的设备示例。Shey说,每个人都有六个联网设备,这意味着黑客有更多机会。“甚至在大流行之前,我们就看到了消费者物联网设备如何增加攻击面,”Shey说。但是,公司可以采取一些措施来有效缓解这些问题。“人力资源部门可以与[首席信息安全官]一起集思广益,从安全意识举措到重新审视员工笔记本电脑上的端点控制,”Kennedy说。4.利用公关和营销专业知识当公司中的每个人都关心并确切了解网络安全是什么以及它如何提高公司效率时,网络安全才能发挥最大作用。这意味着HR和IT可能希望联系其他部门以帮助提高安全意识。特别是,公关和营销部门拥有有助于提高信息传递效率的技能。“一家公司的营销和公关人员一天中的大部分时间都在思考如何制作吸引注意力的信息,”肯尼迪说。“一些最好的活动看起来像广告活动。”他说,不要害怕让这些专家参与该计划以帮助制定信息。5.关注安全控制部署的HR和IT协作“在这个充满不确定性和员工压力的时期,人力资源部门能做的最重要的事情就是同情并关注员工的体验,”Shea说。“在这种环境下,公司面临的一个主要[安全]风险是他们如何看待员工陷入财务困境,对裁员的恐惧和对雇主的不满为内部威胁创造了完美的环境。”例如,糟糕的员工体验会激励员工抵制变革而不是接受变革。员工可能做出的更常见的反应之一是绕过或不支持控制。缺乏支持将使公司面临更多的网络攻击。“当安全技术控制措施推出时,员工有时会被忽视,”肯尼迪说。“思考过程是他们受制于企业实施的任何事情;然而,[员工]通常拥有比人们意识到的更多的代理权。”这意味着IT在推出新的安全控制见解时确实需要依赖HR对员工体验的理解。“人力资源和IT[应该]将这些控制的推出视为——虽然不是在向客户或客户推出某些东西的级别——更接近那个级别,”肯尼迪说。肯尼迪表示,有多种方法可以提高用户采用率。以下是一些可以提供帮助的想法:在实施之前仔细测试任何安全控制的可用性。?彻底解释推理和控制旨在解决的问题,例如意识培训。对控件产生的摩擦或它如何使用户的工作更加困难的反馈持开放态度。权衡摩擦与正在减轻的风险,并决定控制是应该继续还是应该调整。6.吸引个人兴趣的营销的主要规则是了解你的受众并引起他们的注意。由于安全问题可能与任何个人问题无关,因此HR需要加倍努力,将安全与您的受众关心的事情联系起来。“有很多方法可以让员工了解网络安全的重要性及其运作方式,”国际律师事务所克拉克希尔(ClarkHill)的就业和网络安全律师查尔斯·拉斯曼(CharlesRathman)说。“两个最关键的因素是高管个性化和参与度。”他说,个性化意味着向员工解释网络安全不仅对业务连续性至关重要,而且对保护他们自己的数据以及公司拥有的数据也很重要。有关其家庭成员的数据,例如公司健康计划中的数据。当员工了解他们和家人的安全受到威胁时,他们更有可能保持警惕。解释为什么员工必须采取特定的安全措施——以及不这样做可能造成的危害——通常比简单地发布关于如何采取各种安全预防措施的说明更有效。“确保员工了解安全措施背后的原因,他们应该做什么,以及如果他们有问题或疑虑应该联系谁,”Shey说。
