مدیریت ریسک داخلی بسیار پیچیده است

به گفته گارتنر، نظارت بر فعالیت های کارکنان بدون خطر نیست. سازمان‌ها معمولاً سیستم‌های ارتباطات داخلی (مثلاً پلتفرم‌های ایمیل یا همکاری) را نظارت می‌کنند و موارد مشکوک به نقض خط‌مشی را بررسی می‌کنند. اما گسترش این فعالیت ها به بازرسی فراگیرتر از زندگی کاری کارکنان می تواند انتظارات و حقوق حریم خصوصی کارکنان در محل کار را نقض کند.

یک شکاف امنیتی ثابت و رایج در هر شرکت دیجیتالی در جهان وجود دارد. صرف نظر از صنعت، اعم از مالی، مراقبت های بهداشتی، مسکونی یا تدارکات، وجه مشترک یکسان است: عنصر انسانی.

نسخه چاپگر پسند

کتابچه راهنمای امنیت مسکونی 2022: زندگی هوشمند امنیت سایبریاملاک مسکونی (صنعت)

یک کار پیچیده

پرداختن به ریسک خودی بسیار پیچیده است. گزارش اخیر DTEX دو رویکرد متمایز را مقایسه می‌کند: مدیریت ریسک خودی و نظارت بر تهدیدات داخلی. این رویکردها اهداف مشترکی برای جلوگیری از از دست دادن داده ها، شناسایی تهدیدات داخلی، تسریع واکنش به حادثه و حفظ انطباق دارند.

در برخی کشورها ممکن است نظارت بر کارمندان (یا استفاده از شواهد حاصل از نظارت) برای توبیخ یا اخراج آنها غیرقانونی باشد، مگر اینکه یک خط مشی استفاده قابل قبول به خوبی به کارکنان ابلاغ شده باشد. در کشورهایی که قوانین حفاظت از داده‌ها به خوبی تثبیت شده است، سازمان‌ها باید اطلاعاتی در مورد پردازش داده‌های شخصی ارائه دهند، از جمله اینکه چه نوع داده‌هایی جمع‌آوری می‌شوند، چه کسی به داده‌ها دسترسی دارد و تحت چه شرایطی نظارت ممکن است انجام شود.

خطر ناشی از خودی های مخرب برای مدت طولانی در اولویت CISO ها بوده و اکنون به اولویت اصلی سایر مدیران و اعضای هیئت مدیره تبدیل شده است. کارمندان نیاز به دسترسی به اطلاعات حساس دارند، اما رویکردهای سنگین با استفاده از قوانین پیچیده و ثابت می‌تواند کاربران را ناامید کند. این کار بهره‌وری را با مشکل مواجه می‌کند و کاربران را به جستجوی راه‌حل‌هایی سوق می‌دهد که می‌توانند داده‌ها را نیز در معرض خطر قرار دهند.

گارتنر می‌گوید قبل از اینکه سازمان‌ها استفاده از ابزارها و خدمات تهدید داخلی را بررسی کنند، باید با مشاوران حقوقی و رهبران منابع انسانی مشورت کنند و مرزهایی را برای ضبط، ذخیره‌سازی، اشتراک‌گذاری، تجزیه و تحلیل و تخریب داده‌های مربوط به فعالیت‌های کارکنان تعیین کنند.

کارمندان، پیمانکاران و شرکا به طور قابل درک در مورد فعالیت هایی که نظارت می شود نگرانی دارند. آنها در مورد اینکه چه داده هایی ممکن است در محدوده یا خارج از محدوده باشند سؤالاتی دارند. مهمتر از آن، کاربران ممکن است تعجب کنند که چگونه این سیستم های نظارتی ممکن است علیه آنها تعصب داشته باشند و به حریم خصوصی شخصی آنها نفوذ کنند.

منبع: https://www.securitysa.com/17364R

اسکن فایل، ایمیل، وب، ضبط محتوای برنامه های پیام رسانی، ثبت با ضربه کلید و ضبط صفحه برای امنیت موثر با مدل مجموعه ابرداده ضروری نیست. IRM فراتر از الزامات انطباق است و حفظ حریم خصوصی کارکنان را در اولویت قرار می دهد و در عین حال بهره وری کارگران را ممکن می سازد.

فن‌آوری‌های نظارت بر تهدیدات داخلی (ITS) نه تنها از قابلیت‌های بازرسی محتوای تهاجمی، ثبت با ضربه کلید و ضبط ویدیو استفاده می‌کنند، بلکه اغلب داده‌های بیشتری از آنچه برای هدف اعلام‌شده لازم است جمع‌آوری می‌کنند. این امر باعث ایجاد مشکلات غیرضروری در خصوص حریم خصوصی کارکنان و همچنین هزینه های قابل توجهی در ارتباط با ذخیره سازی و پردازش اطلاعات اضافی می شود.

برای کسب اطلاعات بیشتر در مورد ابزارهای موجود و اینکه چگونه اطلاعات و امنیت سایبری نیروی کار می تواند به شما کمک کند، کتاب الکترونیکی مدیریت ریسک خودی و نظارت بر تهدیدات داخلی (www.securitysa.com/*dtex1) را دانلود کنید.

وام)

مدیریت ریسک داخلی (IRM) به کارمند به عنوان منبع اطلاعاتی و نه موضوع نظارت نگاه می کند. این به طور موثر مدلی از نظارت تهاجمی را به مدلی تبدیل می کند که اطلاعات کاربر را ناشناس می کند و تنها حداقل مقدار ابرداده لازم برای ایجاد یک مسیر حسابرسی پزشکی قانونی را با احترام کامل به حقوق اساسی یک کارمند برای حفظ حریم خصوصی جمع آوری می کند.

جان مک لافلین.

این می‌تواند شامل قوانینی از پیشگیری از دست دادن داده‌ها برای رفتار بد شناخته شده، یادگیری ماشینی، و تجزیه و تحلیل رفتار مبتنی بر داده‌های بهتر برای شناسایی اهداف مخرب، و اولین رویکرد حفظ حریم خصوصی برای نظارت بر کارکنان باشد که از کارمندان محافظت می‌کند و به شیوه‌ای متناسب استفاده می‌شود.