信息安全与人力资源

信息安全与人力资源:营造注重安全的文化

我最近在CIPD度过了一天,参加了 安全意识特别兴趣小组 (SASIG)的第八届年度人力资源研讨会。这些研讨会聚集了信息安全和人力资源领域的领导者,以分享最佳实践并讨论当今组织面临的关键问题。

信息安全与组织文化

今年的活动主要关注组织文化在证明组织具有最佳网络和信息安全性方面的作用。

这是我当天的要点:

1.政策适用于所有人

董事,所有者或C级员工经常认为政策不适用于他们。如果首席执行官急于要他们迟到的会议的关键数据通过电子邮件发送给人事经理,那么人事经理拒绝并指出需要遵循程序的难易程度如何?

如果您的员工感到无法做到这一点,那么您将面临巨大的风险。定向攻击的复杂性和复杂性一直在增加。通常情况下,首席执行官掌握着通往王国的钥匙,因此,他们是主要目标。

实际上,一个人拥有的权力越多,就应该越关注程序和良好实践!

相关文章: 如何培养员工的领导能力

2.奖惩

与其惩处不良行为,不如通过奖励不良行为来提高我们的效率。

例如,如果您有一个明确的办公桌政策,而不是在有人将文档留在办公桌上时留下“耻辱后遗症”,请在遵守该政策的团队中的每个人的办公桌上留下巧克力和漂亮的便条。

这里的重点不是巧克力,而是奖励的社会方面。对积极行为的可见表扬是真正的价值。 InfoSecurity杂志上有一篇很好的文章 奖励安全意识行为 以获得进一步的指导,包括为什么您应该避免因积极行为而获得金钱奖励。

3.创建“人工防火墙”

通过适当的意识和培训,再加上无怪的文化,您的员工将成为“人类防火墙”,它比我们所依赖的物理防火墙更为重要和有效。

随着日益复杂的社会工程学攻击和 商业电子邮件妥协(BEC),需要对员工进行适当的培训,以使其有机会缓解这些威胁。鉴于变化的快节奏,这需要定期和频繁的努力。

相关文章: 业务培训需求分析指南

4.减轻员工的风险

内部威胁到任何组织的安全。这可能只是一个想要恶意的人,但通常是一个对某事不满意的人。

为了最大程度地减少员工从您的组织中窃取数据的风险,您应该鼓励 最小特权 心态。该原则规定,人们应该具有有效执行职责所需的最少访问权限。匆匆忙忙或训练有素的人,以及设计不当的系统,可能会迫使人们赋予每个人“超级管理员”权利,而不是花时间评估每个员工的要求。

当某人确实希望造成伤害时,这会大大增加组织数据的风险。

5.建立积极的安全文化

这是生活中的事实:错误可能会发生。没有大量的培训,政策或良好实践可以完全消除它们,因此我们需要学习有效地处理错误。

为了有效减轻错误带来的风险,我们需要尽快学习错误。在所有领域都是如此,但对于信息安全而言尤其如此。然后,我们需要调查原因,并愿意接受公司可能扮演的重要角色,例如由于缺乏培训或不切实际的截止日期。

人们可能会担心接受错误就等于接受表现不佳,但这不是事实。实际上,国家网络安全中心(NCSC) 指导 关于如何实现这一目标以及如何将责任与责备区分开来。

总而言之,忽略文化在维护信息安全中的作用的组织正在向更大的风险和可避免的风险敞开大门。了解信息安全是每个人的责任,对员工进行适当的培训将使员工敬业度更高和信息安全性得到改善。

相关文章

缓解合规风险:使用HR软件保护您的业务

作为中小企业如何制定出色的人力资源政策

杰特·巴克的图片

撰写者 杰特·巴克

Kit是myhrtoolkit的首席技术官兼myhrtoolkit的公司总监,他领导技术团队开发系统。他在我们的博客上分享有关数据安全性和公司文化的专业知识和技巧。

免费数据迁移
免费数据迁移
无限免费支持
无限的免费支持
3个月MOT
3个月MOT