在流氓员工成为安全威胁之前,识别并阻止他们
我们这个看似无限的技术进步的时代正在迅速改变我们生活的方方面面,特别是在21世纪工作意味着什么。但这也导致了员工使用雇主允许范围之外的工具的可能性 (想想: 基于云的计算、存储和文件共享工具),无意中危及他们组织的安全。
公司经常忽视这些流氓员工,尽管他们与恶意员工一样构成严重的威胁 -- 对许多组织来说甚至更多。流氓员工有三种类型: 创新,坏和懒惰。以下是你如何识别和阻止他们的轨道:
创新
他们富有创造力,好奇心,雄心勃勃,足智多谋和高效。他们有不懈的努力去完成工作,甚至有健康的叛逆。不幸的是,它们的有效性和独立性可能会严重损害组织安全。
坏的
很容易想象出这种流氓员工: 黑客,小偷和间谍。但这并不总是那么好莱坞。心怀不满的员工能够获得高度安全的信息,并且有足够的怨恨来利用它,被轻视的员工戏剧性地辞职并窃取专有信息,被解雇的员工决心要进行报复,这是最糟糕的员工。
最普遍的不良例子可能是访问ho积者,他要求参与尽可能多的流程和系统,甚至是与他或她的角色相去甚远的流程和系统。但是,随着他们获得越来越多的系统,他们带来的风险也会增加。
这不仅关乎他们有能力查看,共享并可能更改或窃取敏感信息。这也与他们留下的一长串登录和密码有关,这增加了某些帐户被未充分使用或遗忘的可能性。
你很少会看到一个可怕的标题明确提到一个存取囤积者是如何几乎让一家公司倒闭的。然而,现实情况是,即使在引人注目的漏洞中,当坏人确实突破了组织的外围安全控制 (例如防火墙) 时,他们的首要任务通常是征用帐户-正是这些类型的特权帐户才是主要目标。
懒惰
对于任何组织来说,风险的主要原因是懒惰。这些员工可能不关心遵循起草的协议 -- 也就是说,他们是否理解这些协议,或者是否知道它们的存在。
也许他们将用户名和密码存储在便利贴上,或者使用Dropbox代替认可的存储和文件共享服务,因为这是他们所知道的,他们不想学习新的东西。一直以来,他们都不知道他们坚持规避公司政策会使他们的组织面临严重风险。
更可怕的可能是一个系统管理员,他原来是懒惰流氓的一部分。也许他们允许与他们成为朋友和信任的组织中的人接触,而不是花时间通过适当的渠道、文件和授权。
教育、培训、持续监控、严格的访问限制 -- 这些可能有助于缓解问题,但它们绝不是任何类型的流氓员工构成的威胁的万无一失的解决方案。
保护组织的数据、隐私和地位的最可靠措施是使用身份和访问管理软件仅在员工需要时自动授予对资源的访问权限。这消除了员工访问他们不应该看到的信息的能力,阻止了他们即使是偶然的流氓。