隨著黑客的發明性日漸豐富��,并且全球頒布了數據隱私法律,HR領導者面臨著保護和存儲敏感的HR數據但又不減少員工使用該數據做出及時的員工決策能力的挑戰��。
但是��,可能沒有足夠的網絡安全同事來尋求建議和技術援助����,這加劇了這些挑戰�。根據(ISC)2開展的2019年網絡安全勞動力研究����,大約65%的公司報告說網絡安全人員短缺,這是一個國際非營利性IT專業人員協會��。結果�,越來越多的公司開始轉向不需要人工干預的安全策略����,例如由人工智能(AI)驅動的網絡安全��,可以主動監視和消除新型的網絡威脅�。
更加復雜的攻擊的新策略
研究表明�,對數據安全的擔憂正在占用更多人力資源主管的時間和資源�。2019-2020年Sierra-Cedar人力資源系統調查發現����,部署網絡安全策略的受訪者數量比上年調查增加了17%,其中70%的人力資源組織表示已制定并定期更新該策略�。這是個好消息�,因為聯邦調查局(FBI)報告稱,2018年收到了35萬起互聯網犯罪投訴����,五年來增長了23%。這些犯罪估計造成了27億美元的財務損失��。
安全專家說�,諸如薪資信息����,社會保險號和內部調查或員工評估記錄之類的敏感數據的丟失所帶來的影響遠遠超出了人事部門�。
加州圣塔克拉拉市網絡安全公司Idaptive的營銷和戰略副總裁Corey Williams表示:“當HR系統遭到破壞時�,它不僅僅只是被竊取的個人數據����,因為HR對于整個組織的眾多流程至關重要。” “ HR系統是整個組織中大多數員工訪問的起點��。HR數據不像其他數據那樣位于孤島上����,當您在HR級別上存在漏洞時��,就會使整個企業面臨更大的風險��。攻擊��。”
人工智能驅動的安全工具代表了一種新的方法來應對人力資源數據的威脅��。盡管不是萬能藥�,但這些技術可以防御由自動化惡意軟件驅動的惡意攻擊��,并具有模式識別等功能�,可以識別可疑行為并實時阻止潛在問題或威脅在線流量��。
為了防止內部威脅(無論是惡意威脅還是來自未遵循正確安全實踐的工作人員的威脅),可以對一些基于AI的網絡安全工具進行培訓�,以學習使用公司網絡時員工的行為。研究表明��,此類威脅是一個日益嚴重的問題����。根據總部位于馬薩諸塞州劍橋市的Forrester Research的最新基準研究�,內部人員在2019年報告的組織中造成了48%的數據泄露,高于2015年總數據泄露的26%����。
越來越多的公司正在采用“零信任”策略��,這些策略具有對網絡訪問或身份驗證采用“永不信任��,始終驗證”的方法��,并采用了諸如多因素身份驗證(MFA)等工具。MFA是通過至少兩個不同因素來確認用戶身份的方法��。根據Sierra-Cedar的調查��,去年,大型組織將MFA的使用增加了20%�,大約有55%的小型組織報告將MFA用于人力資源應用。
威廉姆斯說��,用戶憑證被盜或薄弱仍然是組織中數據泄露的主要原因����。威廉姆斯說:“我們已經看到密碼和憑據被盜的方式越來越復雜��。” “其中包括惡意軟件�,黑客編寫了更具說服力的網絡釣魚電子郵件����,誘使員工單擊有害鏈接,以及其他方法��。公司發現����,僅依靠密碼進行訪問就變得站不住腳了��。”
通過用戶體驗平衡安全性
人力資源主管必須在采取正確的數據安全措施與確保員工仍然可以以高效且用戶友好的方式使用人力資源網絡和軟件之間取得平衡,理想情況下��,這種平衡不會使員工感到過度監控或戴上手銬技術����。
威廉姆斯說:“安全性通常被視為搖搖欲墜,在這里您要么提高數據安全性��,要么正在改善技術的用戶體驗����。” “但是這不一定非要不然�。”
例如����,通常以相同方式訪問相同公司網絡或應用程序的員工可能不需要額外的安全監督,但是從從未去過的國家(使用其他設備)訪問同一系統的人將需要更多控制�。
威廉姆斯說:“在應用安全工具將高風險與低風險的系統訪問區分開來方面�,我們看到了更多的創新��。”
專家說��,人力資源主管還可以通過鼓勵其公司重新評估用戶訪問策略來幫助增強安全性。威廉姆斯說:“隨著人們在公司中長期工作��,他們往往會積累對系統的訪問權�,而隨著他們在公司內部或周圍移動,訪問權并不一定會被剝奪��。” “在訪問系統中的敏感數據方面��,員工經常'超額配置'����,這會給公司帶來更大的脆弱性��。” 他說��,與員工生命周期管理相關的自動化流程可以確保隨著人們改變公司角色而改變或刪除系統訪問權限��。
舊金山的網絡安全公司Cloudflare的首席技術官James Graham-Cumming說��,更加明智地授予數據訪問權限是明智的,但有時卻被忽略了����。Graham-Cumming說:“公司的首席執行官或其他高級領導者可以訪問所有或大多數公司系統,這并不罕見�,因為他們只是覺得需要這種訪問��。” “然而,這些人通常是黑客攻擊的目標�,甚至是更為知名的甚至是公眾人物����,F實情況是�,您的最高管理層或副總裁可能不需要訪問所有系統。”
管理供應商風險
隨著人力資源部門向其生態系統添加更多技術平臺并與第三方提供商建立更多集成�,數據安全和隱私威脅可能會越來越大��。研究和咨詢公司Gartner的最新研究發現�,由于人力資本管理系統的構建是為了與許多第三方服務(例如LinkedIn)集成����,因此這些集成可以通過“錯誤配置”使組織面臨風險��,從而導致意外數據泄漏��。Gartner的研究發現�,取決于集成程度,供應商系統中的安全問題可能會為攻擊者打開大門����,就像2014年零售商Target一樣����。
安全專家表示��,人力資源主管應確保供應商擁有最佳實踐的數據安全性和隱私協議����,例如MFA����,同時還要通過外部服務組織控制或SOC 2審核��,以確認他們遵守建議的操作規范用于數據安全�,處理完整性��,確保隱私等����。
舊金山的網絡安全公司MobileIron的首席官員Jared Lucas表示����,與安全相關的員工培訓比以往任何時候都更加重要��,因為惡意軟件變得越來越復雜����,網絡釣魚攻擊越來越多��,而不良行為者也使用了AI驅動的方法來入侵公司系統��。
盧卡斯說:“有效的,定期更新的尋找和警告方面的培訓可以彌補公司數據安全戰略中的許多漏洞����。”
2020-02-11 10:07:14 
