安全漏洞不仅仅是技术问题,也是人的问题。
若问及公司哪个部门需对数据安全负责,十有八九会得到“IT”这个回答。但专家指出,IT不应该独自担起这个责任,更好的安全需要与人力资源(HR)紧密合作。
一个明显的例子,来自于今年2月26日美国联邦存款保险公司(FDIC)的一起数据泄露事件。当时一位即将离职的员工非故意地下载了4.4万条客户记录到U盘上,这些记录中包括了个人身份识别信息(PII)。
官方称,幸运的是,未造成明显损失。该数据泄露发生在周五,公司的数据遗失保护软件在接下来的周一检测到了这起事件,FDIC立即联系离职雇员,而她也在第二天交回了数据。
她同时签署了一份宣誓书,陈述自己并未利用或扩散过这些信息。FDIC指出,该前雇员有权访问这些数据。她只是无权将任何信息带回家。
这事儿无独有偶。《华尔街日报》报道,1个月前FDIC就报告了之前8个月里的7起类似数据泄露事件,全部源于即将离职雇员将数据带走,威胁到16万美国人的个人身份识别信息(PII)。
那么,IT和HR之间更紧密的协作真的能更好地避免此类泄露事件吗?专家的意见并不统一。
尽管“人”本身的问题已十分明显,且几十年来人类本身一直是安全链中所谓的“最弱一环”,大部分安全意识培训却是由“IT”而不是HR来做的。
保护数据,知道数据存储位置,了解人员权限分配——也就是“身份及访问管理”(IAM),也是IT的活儿。甚至连提前数月检测员工是否有离职意向行为的软件,也是归IT负责,而不是HR。
不过,CyberSpones创始人兼CEO约瑟夫·鲁米斯称,“IT和HR之间保持紧密联系总是不错的实践。”
“
任何时候,只要涉及人类行为,HR都应该参与进来。
如果出现失败,很大可能是由于“糟糕的过程”。公司员工流动,人才需求和文化改变过程中,所有信息通常都会随着前任IT管理员的离职而遗失。这可称之为“IT纸牌屋”现象,随着人的来去,状况起伏不定。
而跟踪雇员的去留转职,正是HR的工作范围。“任何时候,只要涉及人类行为,HR都应该参与进来。”
艾拉·温可勒,Secure Mentem总裁,认为HR应该在人员即将离职时知会IT。HR在保证雇员恰当离职上有着非常具体的目的。
查尔斯·崔,Guidance Software 产品推广经理,也持相同看法。他认为,虽然有数据遗失防护(DLP)技术注意着数据动向,由于过高的误报率阻碍了有效业务操作,这些技术通常都会被弃用。
“恰当地教导雇员‘工作期间一切成果,在法律意义上讲,都归公司’,是HR的责任。”
因此,HR在员工即将离职,甚至离职是预定好的善意的情况下,也要通知IT,以便这些员工的行为能被更密切地监视,也就显得特别重要了。至少在美国,工作期间一切成果归公司而不是个,HR有责任将这一点恰当地告诉员工。
丹纳·希波科夫,AvePoint首席合规与风险官,认为HR和IT应该在员工培训和监管两方面都是“联合合作伙伴”——尤其是那些即将转出公司的员工。
至少,公司应该执行政策,保证员工离职前删除的数据都被审查通过,他们对存放客户数据的系统只有被监管的有限的访问权。
“你需要对公司野餐的相片,也应用与员工利益信息保护同等级的安全协议来保护吗?”
特雷弗·霍松,Wombat Security Technologies 首席技术官,觉得HR需要与IT紧密协调以在员工离职时做好沟通。如果离职员工具有安全风险,要确保遵循‘离职’检查表进行审查。对企业内部的员工流动,强大的IAM能力能让公司得以审计用户权力与权限。
而史蒂夫·康拉德,MediaPro常务董事,则认为很多数据泄露,包括FDIC那些,都是多重问题的结果——其中就有培训和数据分类问题。
“不同种类的数据似乎有所交集,FDIC雇员不容易识别出PII处于风险中。这起泄露事件本可以通过更有效的安全意识培训来消弭于无形的。HR绝对可以帮助IT设计更好的培训体验,产出更好的整体效果。”
公司里所有部门都需要共同工作这一点,没人有异议,HR和IT之间尤其如此。但有些专家认为,对于FDIC这样的数据泄露,更多的责任归在IT一方。
约纳坦·斯特里姆-阿密特,Cybereason共同创始人兼CTO,称FDIC数据泄露事件中带走4.4万客户记录的前雇员没有恶意简直幸运。
但他也指出,由于她有足够权限访问那些数据,任何假扮她的人也有可能访问到那些数据。
而抓住冒用真实员工身份进入公司的入侵者的责任,明显落在IT身上。“公司企业在数据级和终端级都有管控,并增强总体策略,是必须的。”
更好的数据管控——知道数据是什么、在哪里,并恰当进行分类,有助于公司企业跟踪并保护数据,是普遍认可的意见。而这些,是IT的职能。
正如希波科夫所言,“公司野餐照片,难道也用保护客户关键基础设施设计或建造信息、信用卡信息或雇员利益信息相同等级的保护协议?”
但她同时也相信,“HR应该在确保雇员不被无意赋予太多数据访问权上起到关键作用。”
“作为总原则,雇员应只被赋予能够进行自己工作的最小访问权。”然而,不幸的是,被工作淹没的IT管理员倾向于反其道而行之,赋予用户过多权限,以便自身不被几乎不可能承受的工作负担压垮。
底线是,每个部门都能帮助其他部门——IAM名义上是IT职能的情况下,HR更有可能清楚雇员权限是否应该修改。两者应紧密结合,确保权限级别与员工位置和职责同步。很多时候,一旦权限被赋予,就再也不更改或撤销了。这种做法显然增加了公司的风险。
最后,员工培训应该是一项经常性工作和协作性工作。培训工作不可以一年仅一次,训过就完,而应该贯穿在整个公司文化之中。
康拉德称,好的培训应包括市场营销团队和IT以及HR团队——因为培训目标是将良好安全实践“卖”给员工。
“IT应与市场营销合作,学习怎样倾销牢固的带来良好效果的信息。大多数意识培训都质量低劣,能起效果简直是天方夜谭。”
事实上,世界上最好的技术也抗不过粗心或无能的员工。“如果人没被培训好,坏事就接踵而来了。”
====================================分割线================================
本文转自d1net(转载)