当前位置: 首页 > 科技观察

如何利用员工个人数据监控来弥补安全漏洞

时间:2023-03-15 08:45:41 科技观察

在员工越来越关注个人身份安全的同时,身份盗用和网络钓鱼攻击的发生率持续飙升。自2018年以来,身份盗用案件的数量增加了两倍多,而在COVID-19隔离期间,网络钓鱼攻击增加了350%。最关键的是,在最近的一项研究中,38%的受访者表示,他们的同事在过去一年中一直是网络钓鱼攻击的受害者。这种悖论的出现是因为大多数个人信息保护解决方案的被动性质以及对其对企业的好处的误解。许多身份盗窃和信用监控解决方案提供的实际服务更像是补救而不是网络保护。因此,身份盗窃和信用监控对员工或其组织的个人数据安全没有多大帮助。根据我们与各个领域的企业CSO合作的经验,我们甚至发现过分依赖这些类型服务的公司往往更容易受到网络威胁,而不是更容易受到攻击。越多的雇主感到受到无效系统的保护,员工就越有可能偏离网络卫生的基本原则。随着更强大的恶意软件、日益严格的监管环境以及消费者安全意识的提高,提高了组织网络安全的风险,了解个人数据监控如何影响网络安全变得前所未有的重要。识别员工在线私人数据造成的安全漏洞随着真实保护与虚假安全之间的差距越来越大,企业需要批判性地评估他们的个人信息安全态势。随着威胁行为者使用的社会工程骗局不断发展,找出保护员工隐私的有效方法变得越来越重要。鱼叉式网络钓鱼等技术的出现表明了网络犯罪分子如何利用个人信息来增加网络钓鱼攻击的可信度。如果网络罪犯可以找到公司网络中某人的家庭住址、全名或婚姻状况,那么制作一封令人信服的网络钓鱼电子邮件就会容易得多。通过利用高管的个人信息来获得公司高层的信任,这种做法被称为“捕鲸”,网络犯罪分子可以迅速发起破坏性的网络攻击。2016年,在对社交媒体公司Snapchat的攻击中,网络犯罪分子冒充其CEO以获得高管的信任,导致员工薪资信息大量泄露。同样,奥地利航空航天公司FACC的首席执行官在因捕鲸袭击损失近6000万美元后被解雇。令人担忧的是,威胁行为者用来促进此类攻击的个人信息很容易获得。员工的个人信息通常很容易获得,无论是由于数据泄露,还是更常见的情况,因为公开信息是通过数据经纪人和人员搜索网站整理的。由于大多数美国公司都担心员工使用社交媒体对网络安全的影响,员工本身也可能成为破坏个人信息安全的连环杀手。个人信息安全解决方案格局为应对个人信息带来的日益严重的威胁,信息保护解决方案市场正在迅速扩张,预计未来六年的复合年增长率(CAGR)将达到13%。然而,许多组织渴望为员工提供更多保护,作为公司福利计划的一部分,但并不清楚这种保护的具体运作方式。为了帮助澄清这个问题,将信息安全解决方案归为三个主要类别之一是有帮助的。1.信用监控信用监控服务使个人能够通过扫描个人信用档案来了解三大信用监控机构——Equifax、TransUnion和Experian的变化,从而在一个地方关注自己的信用评分。虽然任何人都可以自己检查自己的信用评分,但付费信用监控服务会自动执行此过程,使个人更容易跟踪变化。对于员工来说,信用监控作为工作场所福利的优势在于能够注意到他们信用评分的突然变化,表明他们是欺诈的受害者。2.身份盗窃保护与信用监控服务一样,身份盗窃保护解决方案最好被视为个人信息的保险单。然而,IdentityGuard、Norton和OneRep等供应商提供的此类产品比仅仅查看个人信用评分更进一步。除了进行信用检查外,身份盗用保护还对法庭记录、贷款申请和公用事业订单等进行更全面的检查,以查看个人的个人信息是否被欺诈使用。随着身份盗窃影响到创纪录数量的美国人,身份盗窃保护现在是一项受欢迎的可选福利。3.隐私保护信用监控和身份盗窃保护服务提供了保险,如果员工的信息被滥用,他们会得到通知,但它们对提高公司的网络安全无济于事。虽然员工从这些服务中看到了真正的好处,但他们的数据已经暴露并给他们的雇主带来了新的网络安全风险。信用和身份保护的反应性也意味着,虽然个人可以更快速、更轻松地发现和纠正欺诈行为,但个人数据泄露问题仍然很突出。与DeleteMe提供的服务一样,PrivacyShieldSolutions致力于解决个人数据泄露的根本原因。通过寻找并消除个人个人和专业数据的不必要暴露,主动隐私保护从一开始就大大降低了欺诈发生的可能性。对于企业而言,此类解决方案还可以通过最大限度地减少员工个人信息的暴露来加强网络安全,进而从威胁行为者手中夺走宝贵的弹药。为组织中的个人信息隐私制定积极主动的方法虽然每个解决方案都有其用武之地,但对员工个人信息的真正保护来自分层方法。在最基本的层面上,员工需要进行实践培训,了解如何最大限度地减少他们在工作和家中的个人信息足迹。除了强调对个人信息采取不安全方法的潜在安全风险外,有效的培训还应向员工展示隐私的好处(即减少垃圾邮件和增加个人安全)。然而,仅靠培训很少有效。虽然定期培训很关键,但教员工如何发现社会工程诈骗的安全意识培训计划往往会在几个月内被遗忘,需要不断加强以保持其有效性。在培训的基础上,还应通过主动的个人信息检索和删除服务来保护员工的个人信息。归根结底,保护员工和企业免受利用个人信息的欺诈行为的最佳方式是从源头切断个人数据的供应。信用监控和身份保护服务可以构成主动方法的第三层。虽然这些服务对提高企业安全性作用不大,但它们可以帮助员工放心,如果他们的数据被滥用,他们会在问题失控之前发现问题。最后但同样重要的是,即使它没有出现在企业的资产负债表上,员工个人信息也是企业的宝贵资产。由于超过90%的企业经常遭受有针对性的网络钓鱼攻击,因此最大限度地减少员工数据暴露需要成为每个企业安全状况的关键部分。然而,组织需要创建一个分层的、主动的解决方案来提供真正的安全价值,而不是为员工提供仅在事后起作用的解决方案。员工隐私非常重要,不能只停留在个人事务上。