安全漏洞不僅僅是技術問題,也是人的問題。
若問及公司哪個部門需對數據安全負責,十有八九會得到“IT”這個回答。但專家指出,IT不應該獨自擔起這個責任,更好的安全需要與人力資源(HR)緊密合作。
一個明顯的例子,來自于今年2月26日美國聯邦存款保險公司(FDIC)的一起數據泄露事件。當時一位即將離職的員工非故意地下載了4.4萬條客戶記錄到U盤上,這些記錄中包括了個人身份識別信息(PII)。
官方稱,幸運的是,未造成明顯損失。該數據泄露發生在周五,公司的數據遺失保護軟件在接下來的周一檢測到了這起事件,FDIC立即聯系離職雇員,而她也在第二天交回了數據。
她同時簽署了一份宣誓書,陳述自己并未利用或擴散過這些信息。FDIC指出,該前雇員有權訪問這些數據。她只是無權將任何信息帶回家。
這事兒無獨有偶。《華爾街日報》報道,1個月前FDIC就報告了之前8個月里的7起類似數據泄露事件,全部源于即將離職雇員將數據帶走,威脅到16萬美國人的個人身份識別信息(PII)。
那么,IT和HR之間更緊密的協作真的能更好地避免此類泄露事件嗎?專家的意見并不統一。
盡管“人”本身的問題已十分明顯,且幾十年來人類本身一直是安全鏈中所謂的“最弱一環”,大部分安全意識培訓卻是由“IT”而不是HR來做的。
保護數據,知道數據存儲位置,了解人員權限分配——也就是“身份及訪問管理”(IAM),也是IT的活兒。甚至連提前數月檢測員工是否有離職意向行為的軟件,也是歸IT負責,而不是HR。
不過,CyberSpones創始人兼CEO約瑟夫·魯米斯稱,“IT和HR之間保持緊密聯系總是不錯的實踐。”
“
任何時候,只要涉及人類行為,HR都應該參與進來。
如果出現失敗,很大可能是由于“糟糕的過程”。公司員工流動,人才需求和文化改變過程中,所有信息通常都會隨著前任IT管理員的離職而遺失。這可稱之為“IT紙牌屋”現象,隨著人的來去,狀況起伏不定。
而跟蹤雇員的去留轉職,正是HR的工作范圍。“任何時候,只要涉及人類行為,HR都應該參與進來。”
艾拉·溫可勒,Secure Mentem總裁,認為HR應該在人員即將離職時知會IT。HR在保證雇員恰當離職上有著非常具體的目的。
查爾斯·崔,Guidance Software 產品推廣經理,也持相同看法。他認為,雖然有數據遺失防護(DLP)技術注意著數據動向,由于過高的誤報率阻礙了有效業務操作,這些技術通常都會被棄用。
“恰當地教導雇員‘工作期間一切成果,在法律意義上講,都歸公司’,是HR的責任。”
因此,HR在員工即將離職,甚至離職是預定好的善意的情況下,也要通知IT,以便這些員工的行為能被更密切地監視,也就顯得特別重要了。至少在美國,工作期間一切成果歸公司而不是個,HR有責任將這一點恰當地告訴員工。
丹納·希波科夫,AvePoint首席合規與風險官,認為HR和IT應該在員工培訓和監管兩方面都是“聯合合作伙伴”——尤其是那些即將轉出公司的員工。
至少,公司應該執行政策,保證員工離職前刪除的數據都被審查通過,他們對存放客戶數據的系統只有被監管的有限的訪問權。
“你需要對公司野餐的相片,也應用與員工利益信息保護同等級的安全協議來保護嗎?”
特雷弗·霍松,Wombat Security Technologies 首席技術官,覺得HR需要與IT緊密協調以在員工離職時做好溝通。如果離職員工具有安全風險,要確保遵循‘離職’檢查表進行審查。對企業內部的員工流動,強大的IAM能力能讓公司得以審計用戶權力與權限。
而史蒂夫·康拉德,MediaPro常務董事,則認為很多數據泄露,包括FDIC那些,都是多重問題的結果——其中就有培訓和數據分類問題。
“不同種類的數據似乎有所交集,FDIC雇員不容易識別出PII處于風險中。這起泄露事件本可以通過更有效的安全意識培訓來消弭于無形的。HR絕對可以幫助IT設計更好的培訓體驗,產出更好的整體效果。”
公司里所有部門都需要共同工作這一點,沒人有異議,HR和IT之間尤其如此。但有些專家認為,對于FDIC這樣的數據泄露,更多的責任歸在IT一方。
約納坦·斯特里姆-阿密特,Cybereason共同創始人兼CTO,稱FDIC數據泄露事件中帶走4.4萬客戶記錄的前雇員沒有惡意簡直幸運。
但他也指出,由于她有足夠權限訪問那些數據,任何假扮她的人也有可能訪問到那些數據。
而抓住冒用真實員工身份進入公司的入侵者的責任,明顯落在IT身上。“公司企業在數據級和終端級都有管控,并增強總體策略,是必須的。”
更好的數據管控——知道數據是什么、在哪里,并恰當進行分類,有助于公司企業跟蹤并保護數據,是普遍認可的意見。而這些,是IT的職能。
正如希波科夫所言,“公司野餐照片,難道也用保護客戶關鍵基礎設施設計或建造信息、信用卡信息或雇員利益信息相同等級的保護協議?”
但她同時也相信,“HR應該在確保雇員不被無意賦予太多數據訪問權上起到關鍵作用。”
“作為總原則,雇員應只被賦予能夠進行自己工作的最小訪問權。”然而,不幸的是,被工作淹沒的IT管理員傾向于反其道而行之,賦予用戶過多權限,以便自身不被幾乎不可能承受的工作負擔壓垮。
底線是,每個部門都能幫助其他部門——IAM名義上是IT職能的情況下,HR更有可能清楚雇員權限是否應該修改。兩者應緊密結合,確保權限級別與員工位置和職責同步。很多時候,一旦權限被賦予,就再也不更改或撤銷了。這種做法顯然增加了公司的風險。
最后,員工培訓應該是一項經常性工作和協作性工作。培訓工作不可以一年僅一次,訓過就完,而應該貫穿在整個公司文化之中。
康拉德稱,好的培訓應包括市場營銷團隊和IT以及HR團隊——因為培訓目標是將良好安全實踐“賣”給員工。
“IT應與市場營銷合作,學習怎樣傾銷牢固的帶來良好效果的信息。大多數意識培訓都質量低劣,能起效果簡直是天方夜譚。”
事實上,世界上最好的技術也抗不過粗心或無能的員工。“如果人沒被培訓好,壞事就接踵而來了。”
京公網安備 11010502049343號