به گفته گارتنر، نظارت بر فعالیت های کارکنان بدون خطر نیست. سازمانها معمولاً سیستمهای ارتباطات داخلی (مثلاً پلتفرمهای ایمیل یا همکاری) را نظارت میکنند و موارد مشکوک به نقض خطمشی را بررسی میکنند. اما گسترش این فعالیت ها به بازرسی فراگیرتر از زندگی کاری کارکنان می تواند انتظارات و حقوق حریم خصوصی کارکنان در محل کار را نقض کند.
یک شکاف امنیتی ثابت و رایج در هر شرکت دیجیتالی در جهان وجود دارد. صرف نظر از صنعت، اعم از مالی، مراقبت های بهداشتی، مسکونی یا تدارکات، وجه مشترک یکسان است: عنصر انسانی.

مدیریت ریسک داخلی بسیار پیچیده است
کتابچه راهنمای امنیت مسکونی 2022: زندگی هوشمند امنیت سایبریاملاک مسکونی (صنعت)
یک کار پیچیده
پرداختن به ریسک خودی بسیار پیچیده است. گزارش اخیر DTEX دو رویکرد متمایز را مقایسه میکند: مدیریت ریسک خودی و نظارت بر تهدیدات داخلی. این رویکردها اهداف مشترکی برای جلوگیری از از دست دادن داده ها، شناسایی تهدیدات داخلی، تسریع واکنش به حادثه و حفظ انطباق دارند.
در برخی کشورها ممکن است نظارت بر کارمندان (یا استفاده از شواهد حاصل از نظارت) برای توبیخ یا اخراج آنها غیرقانونی باشد، مگر اینکه یک خط مشی استفاده قابل قبول به خوبی به کارکنان ابلاغ شده باشد. در کشورهایی که قوانین حفاظت از دادهها به خوبی تثبیت شده است، سازمانها باید اطلاعاتی در مورد پردازش دادههای شخصی ارائه دهند، از جمله اینکه چه نوع دادههایی جمعآوری میشوند، چه کسی به دادهها دسترسی دارد و تحت چه شرایطی نظارت ممکن است انجام شود.
خطر ناشی از خودی های مخرب برای مدت طولانی در اولویت CISO ها بوده و اکنون به اولویت اصلی سایر مدیران و اعضای هیئت مدیره تبدیل شده است. کارمندان نیاز به دسترسی به اطلاعات حساس دارند، اما رویکردهای سنگین با استفاده از قوانین پیچیده و ثابت میتواند کاربران را ناامید کند. این کار بهرهوری را با مشکل مواجه میکند و کاربران را به جستجوی راهحلهایی سوق میدهد که میتوانند دادهها را نیز در معرض خطر قرار دهند.
گارتنر میگوید قبل از اینکه سازمانها استفاده از ابزارها و خدمات تهدید داخلی را بررسی کنند، باید با مشاوران حقوقی و رهبران منابع انسانی مشورت کنند و مرزهایی را برای ضبط، ذخیرهسازی، اشتراکگذاری، تجزیه و تحلیل و تخریب دادههای مربوط به فعالیتهای کارکنان تعیین کنند.
کارمندان، پیمانکاران و شرکا به طور قابل درک در مورد فعالیت هایی که نظارت می شود نگرانی دارند. آنها در مورد اینکه چه داده هایی ممکن است در محدوده یا خارج از محدوده باشند سؤالاتی دارند. مهمتر از آن، کاربران ممکن است تعجب کنند که چگونه این سیستم های نظارتی ممکن است علیه آنها تعصب داشته باشند و به حریم خصوصی شخصی آنها نفوذ کنند.
منبع: https://www.securitysa.com/17364R
اسکن فایل، ایمیل، وب، ضبط محتوای برنامه های پیام رسانی، ثبت با ضربه کلید و ضبط صفحه برای امنیت موثر با مدل مجموعه ابرداده ضروری نیست. IRM فراتر از الزامات انطباق است و حفظ حریم خصوصی کارکنان را در اولویت قرار می دهد و در عین حال بهره وری کارگران را ممکن می سازد.
فنآوریهای نظارت بر تهدیدات داخلی (ITS) نه تنها از قابلیتهای بازرسی محتوای تهاجمی، ثبت با ضربه کلید و ضبط ویدیو استفاده میکنند، بلکه اغلب دادههای بیشتری از آنچه برای هدف اعلامشده لازم است جمعآوری میکنند. این امر باعث ایجاد مشکلات غیرضروری در خصوص حریم خصوصی کارکنان و همچنین هزینه های قابل توجهی در ارتباط با ذخیره سازی و پردازش اطلاعات اضافی می شود.
برای کسب اطلاعات بیشتر در مورد ابزارهای موجود و اینکه چگونه اطلاعات و امنیت سایبری نیروی کار می تواند به شما کمک کند، کتاب الکترونیکی مدیریت ریسک خودی و نظارت بر تهدیدات داخلی (www.securitysa.com/*dtex1) را دانلود کنید.
وام)
مدیریت ریسک داخلی (IRM) به کارمند به عنوان منبع اطلاعاتی و نه موضوع نظارت نگاه می کند. این به طور موثر مدلی از نظارت تهاجمی را به مدلی تبدیل می کند که اطلاعات کاربر را ناشناس می کند و تنها حداقل مقدار ابرداده لازم برای ایجاد یک مسیر حسابرسی پزشکی قانونی را با احترام کامل به حقوق اساسی یک کارمند برای حفظ حریم خصوصی جمع آوری می کند.
جان مک لافلین.