مدیریت ریسک داخلی بسیار پیچیده است – کتابچه راهنمای امنیت مسکونی 2022: زندگی هوشمند – نرم افزار J2

پرداختن به ریسک خودی بسیار پیچیده است. گزارش اخیر DTEX دو رویکرد متمایز را مقایسه می‌کند: مدیریت ریسک خودی و نظارت بر تهدیدات داخلی. این رویکردها اهداف مشترکی برای جلوگیری از از دست دادن داده ها، شناسایی تهدیدات داخلی، تسریع واکنش به حادثه و حفظ انطباق دارند.

مدیریت ریسک داخلی (IRM) به کارمند به عنوان منبع اطلاعاتی و نه موضوع نظارت نگاه می کند. این به طور موثر مدلی از نظارت تهاجمی را به مدلی تبدیل می کند که اطلاعات کاربر را ناشناس می کند و تنها حداقل مقدار ابرداده لازم برای ایجاد یک مسیر حسابرسی پزشکی قانونی را با احترام کامل به حقوق اساسی یک کارمند برای حفظ حریم خصوصی جمع آوری می کند.

کسب‌وکارها باید به سرعت با نیازهای مشتری در حال تغییر و فشار رقابتی سازگار شوند، و این مستلزم یک راه‌حل ریسک داخلی است که بهترین استراتژی‌ها را از رویکردهای مختلف می‌گیرد.

جان مک لافلین.

گارتنر می‌گوید قبل از اینکه سازمان‌ها استفاده از ابزارها و خدمات تهدید داخلی را بررسی کنند، باید با مشاوران حقوقی و رهبران منابع انسانی مشورت کنند و مرزهایی را برای ضبط، ذخیره‌سازی، اشتراک‌گذاری، تجزیه و تحلیل و تخریب داده‌های مربوط به فعالیت‌های کارکنان تعیین کنند.

یک شکاف امنیتی ثابت و رایج در هر شرکت دیجیتالی در جهان وجود دارد. صرف نظر از صنعت، اعم از مالی، مراقبت های بهداشتی، مسکونی یا تدارکات، وجه مشترک یکسان است: عنصر انسانی.

یک کار پیچیده

توسط جان مک لافلین، مدیر عامل، نرم افزار J2.

به گفته گارتنر، نظارت بر فعالیت های کارکنان بدون خطر نیست. سازمان‌ها معمولاً سیستم‌های ارتباطات داخلی (مثلاً پلتفرم‌های ایمیل یا همکاری) را نظارت می‌کنند و موارد مشکوک به نقض خط‌مشی را بررسی می‌کنند. اما گسترش این فعالیت ها به بازرسی فراگیرتر از زندگی کاری کارکنان می تواند انتظارات و حقوق حریم خصوصی کارکنان در محل کار را نقض کند.


منبع: https://www.securitysa.com/17364R

برای کسب اطلاعات بیشتر در مورد ابزارهای موجود و اینکه چگونه اطلاعات و امنیت سایبری نیروی کار می تواند به شما کمک کند، کتاب الکترونیکی مدیریت ریسک خودی و نظارت بر تهدیدات داخلی (www.securitysa.com/*dtex1) را دانلود کنید.



وام)

کارمندان، پیمانکاران و شرکا به طور قابل درک در مورد فعالیت هایی که نظارت می شود نگرانی دارند. آنها در مورد اینکه چه داده هایی ممکن است در محدوده یا خارج از محدوده باشند سؤالاتی دارند. مهمتر از آن، کاربران ممکن است تعجب کنند که چگونه این سیستم های نظارتی ممکن است علیه آنها تعصب داشته باشند و به حریم خصوصی شخصی آنها نفوذ کنند.

مدیریت ریسک داخلی بسیار پیچیده است

کتابچه راهنمای امنیت مسکونی 2022: زندگی هوشمند امنیت سایبریاملاک مسکونی (صنعت)

اسکن فایل، ایمیل، وب، ضبط محتوای برنامه های پیام رسانی، ثبت با ضربه کلید و ضبط صفحه برای امنیت موثر با مدل مجموعه ابرداده ضروری نیست. IRM فراتر از الزامات انطباق است و حفظ حریم خصوصی کارکنان را در اولویت قرار می دهد و در عین حال بهره وری کارگران را ممکن می سازد.

بهترین استراتژی که نتیجه می دهد

فن‌آوری‌های نظارت بر تهدیدات داخلی (ITS) نه تنها از قابلیت‌های بازرسی محتوای تهاجمی، ثبت با ضربه کلید و ضبط ویدیو استفاده می‌کنند، بلکه اغلب داده‌های بیشتری از آنچه برای هدف اعلام‌شده لازم است جمع‌آوری می‌کنند. این امر باعث ایجاد مشکلات غیرضروری در خصوص حریم خصوصی کارکنان و همچنین هزینه های قابل توجهی در ارتباط با ذخیره سازی و پردازش اطلاعات اضافی می شود.

خطر ناشی از خودی های مخرب برای مدت طولانی در اولویت CISO ها بوده و اکنون به اولویت اصلی سایر مدیران و اعضای هیئت مدیره تبدیل شده است. کارمندان نیاز به دسترسی به اطلاعات حساس دارند، اما رویکردهای سنگین با استفاده از قوانین پیچیده و ثابت می‌تواند کاربران را ناامید کند. این کار بهره‌وری را با مشکل مواجه می‌کند و کاربران را به جستجوی راه‌حل‌هایی سوق می‌دهد که می‌توانند داده‌ها را نیز در معرض خطر قرار دهند.

این می‌تواند شامل قوانینی از پیشگیری از دست دادن داده‌ها برای رفتار بد شناخته شده، یادگیری ماشینی، و تجزیه و تحلیل رفتار مبتنی بر داده‌های بهتر برای شناسایی اهداف مخرب، و اولین رویکرد حفظ حریم خصوصی برای نظارت بر کارکنان باشد که از کارمندان محافظت می‌کند و به شیوه‌ای متناسب استفاده می‌شود.

در برخی کشورها ممکن است نظارت بر کارمندان (یا استفاده از شواهد حاصل از نظارت) برای توبیخ یا اخراج آنها غیرقانونی باشد، مگر اینکه یک خط مشی استفاده قابل قبول به خوبی به کارکنان ابلاغ شده باشد. در کشورهایی که قوانین حفاظت از داده‌ها به خوبی تثبیت شده است، سازمان‌ها باید اطلاعاتی در مورد پردازش داده‌های شخصی ارائه دهند، از جمله اینکه چه نوع داده‌هایی جمع‌آوری می‌شوند، چه کسی به داده‌ها دسترسی دارد و تحت چه شرایطی نظارت ممکن است انجام شود.