写于 2018-11-15 10:12:05| ag亚游集团官方网站| 世界

ROSELL S GOMEZ在过去的几次中,作为网络安全和数据隐私公共论坛的演讲嘉宾,我对调查结果反应不一,表明来自内部攻击的更大威胁有些人会同意点头,而大多数看起来很惊讶,或许第一次意识到它的真相我的观众经常由董事会成员,C-Suite,经理和主管组成

很明显,高层往往忽视了信息安全的这一非常重要的因素真正的威胁内部威胁是一种恶意威胁,来自组织内部知道机密/敏感信息并且可以合法访问内部系统的人当这些内部人员利用他们的特权时,犯罪可以被精确地定位并且更具破坏性,因为他们很可能知道组织的宝贵信息,它所在的位置,以及如何访问它的内容了解涉及内部威胁事件的人员的情况非常重要通常情况下,员工以诚实的意图开始工作,但随着他学到更多并深入了解组织的运作方式而成为威胁威胁可能会在员工的情况,如工作不满,人际冲突,劳动力减少和财务困难根据普华永道的一项调查,流氓员工在犯罪之前经常表现出明显的行为,例如不稳定的工作时间表,不断增加的政策违规行为,性能下降或出勤率下降,或者不典型对同事的评论有时候,这些迹象对于外部威胁代理人来说是显而易见的,他们会抓住这样的机会诱使他们犯罪,特别是那些正在寻找新的工作或经济收益的人

同样相关的人格可以成为内幕事件是前雇员考虑他们一个如果了解业务并了解某些高度机密和敏感的信息,外部威胁代理可以使用它们获取或向其提供可能对组织和/或其客户造成损害的信息

组织的情况也是如此

合作伙伴,供应商和承包商 - 扩展组织 - 凭借与客户的日常业务互动,享有特权访问背景筛选和数据隐私员工验证流程是所有组织完成的标准和/或默认活动雇用员工时这被认为是防止内部威胁的最关键因素之一然而,在所有组织中,有多少人花时间对潜在员工进行严格和扩展的背景审查

那些扩展的组织 - 例如,messengerial,janitorial和IT服务提供商呢

组织是否有兴趣检查这些第三方服务提供商如何确保部署到其客户的人员的完整性

大多数情况下,这个过程存在差距现在,随着菲律宾数据隐私法的实施,这个员工验证过程似乎变得更具挑战性这至少是从人力资源(HR)从业者的角度来看谁必须得到申请人(数据主体)的明确同意才能从相关方获得完整和高质量的信息这将有助于他们做出明智的招聘决策,从而保护组织及其客户免受可能的内部事件的影响该组织应该这样做吗

在管理可能由内部威胁引起的犯罪时,重要的是要理解内部风险管理不能仅靠单一的业务功能来完成必须进行跨职能协作,并采用规范的,基于风险的方法来有效地管理它还需要董事会的积极参与,董事会负责保护利益相关者利益相关者的利益,并推动管理层执行特定的内部威胁管理计划,该计划与其业务,网络安全和数据保护战略保持一致并具体化

具体而言,组织可以实施以下防止可能的内部攻击的最佳做法:1将内部威胁纳入组织的企业风险评估2 实施精心设计的政策,直接解决激发内部威胁因素犯罪的因素事后看来,大多数这些因素实际上是可控的3扩大员工筛选方法,从典型的参考检查和背景调查与教育机构和以前的雇主包括社会网络和信用卡历史记录检查对于现有员工,请考虑实施基于周期的背景调查4对于扩展组织,旨在检查他们的招聘和筛选过程获得相关认证/支持内部控制的有效性(ISAE 3402,SSAE 16/18 )作为组织尽职调查的一部分5在组织内部实施可持续的内部信息安全意识计划不时运行,以便可以立即防止或检测到内部事件攻击6实施强大的技术控制,包括限制使用便携式闪存驱动器等设备防止复制机密和敏感信息的移动设备7保持内部威胁控制的明确文档并实施一致的实施在当今的威胁环境中,必须将所有内部人员聚集在一起,并以保持组织安全的方式行事

事实上,组织很难知道自己认为最重要资产的人可能是其最大的威胁

遗憾的是,他们别无选择,只能咬紧牙关,采取必要措施避免接触这些内幕威胁事件

* * * Maria Rosell B Santillan-Gomez是领导技术和金融服务业务的风险保证合作伙伴,以及普华永道网络成员公司Isla Lipana&Co的全球技术解决方案合作伙伴

欲了解更多信息,请发送电子邮件至market @ phpwccom内容仅供一般参考之用,不得用作替代咨询专业顾问