下一代技术如何确保人力资源数据的安全
资讯 > 热门 > 正文 1174 2020-02-11 10:07:14

随着黑客的发明性日渐丰富,并且全球颁布了数据隐私法律,HR领导者面临着保护和存储敏感的HR数据但又不减少员工使用该数据做出及时的员工决策能力的挑战。但是,可能没有足够的网络安全同事来寻求建议和技术援助...

随着黑客的发明性日渐丰富,并且全球颁布了数据隐私法律,HR领导者面临着保护和存储敏感的HR数据但又不减少员工使用该数据做出及时的员工决策能力的挑战。

但是,可能没有足够的网络安全同事来寻求建议和技术援助,这加剧了这些挑战。根据(ISC)2开展的2019年网络安全劳动力研究,大约65%的公司报告说网络安全人员短缺,这是一个国际非营利性IT专业人员协会。结果,越来越多的公司开始转向不需要人工干预的安全策略,例如由人工智能(AI)驱动的网络安全,可以主动监视和消除新型的网络威胁。

更加复杂的攻击的新策略

研究表明,对数据安全的担忧正在占用更多人力资源主管的时间和资源。2019-2020年Sierra-Cedar人力资源系统调查发现,部署网络安全策略的受访者数量比上年调查增加了17%,其中70%的人力资源组织表示已制定并定期更新该策略。这是个好消息,因为联邦调查局(FBI)报告称,2018年收到了35万起互联网犯罪投诉,五年来增长了23%。这些犯罪估计造成了27亿美元的财务损失。

安全专家说,诸如薪资信息,社会保险号和内部调查或员工评估记录之类的敏感数据的丢失所带来的影响远远超出了人事部门。

加州圣塔克拉拉市网络安全公司Idaptive的营销和战略副总裁Corey Williams表示:“当HR系统遭到破坏时,它不仅仅只是被窃取的个人数据,因为HR对于整个组织的众多流程至关重要。” “ HR系统是整个组织中大多数员工访问的起点。HR数据不像其他数据那样位于孤岛上,当您在HR级别上存在漏洞时,就会使整个企业面临更大的风险。攻击。”

人工智能驱动的安全工具代表了一种新的方法来应对人力资源数据的威胁。尽管不是万能药,但这些技术可以防御由自动化恶意软件驱动的恶意攻击,并具有模式识别等功能,可以识别可疑行为并实时阻止潜在问题或威胁在线流量。

为了防止内部威胁(无论是恶意威胁还是来自未遵循正确安全实践的工作人员的威胁),可以对一些基于AI的网络安全工具进行培训,以学习使用公司网络时员工的行为。研究表明,此类威胁是一个日益严重的问题。根据总部位于马萨诸塞州剑桥市的Forrester Research的最新基准研究,内部人员在2019年报告的组织中造成了48%的数据泄露,高于2015年总数据泄露的26%。

越来越多的公司正在采用“零信任”策略,这些策略具有对网络访问或身份验证采用“永不信任,始终验证”的方法,并采用了诸如多因素身份验证(MFA)等工具。MFA是通过至少两个不同因素来确认用户身份的方法。根据Sierra-Cedar的调查,去年,大型组织将MFA的使用增加了20%,大约有55%的小型组织报告将MFA用于人力资源应用。

威廉姆斯说,用户凭证被盗或薄弱仍然是组织中数据泄露的主要原因。威廉姆斯说:“我们已经看到密码和凭据被盗的方式越来越复杂。” “其中包括恶意软件,黑客编写了更具说服力的网络钓鱼电子邮件,诱使员工单击有害链接,以及其他方法。公司发现,仅依靠密码进行访问就变得站不住脚了。”
 

通过用户体验平衡安全性

人力资源主管必须在采取正确的数据安全措施与确保员工仍然可以以高效且用户友好的方式使用人力资源网络和软件之间取得平衡,理想情况下,这种平衡不会使员工感到过度监控或戴上手铐技术。

威廉姆斯说:“安全性通常被视为摇摇欲坠,在这里您要么提高数据安全性,要么正在改善技术的用户体验。” “但是这不一定非要不然。”

例如,通常以相同方式访问相同公司网络或应用程序的员工可能不需要额外的安全监督,但是从从未去过的国家(使用其他设备)访问同一系统的人将需要更多控制。

威廉姆斯说:“在应用安全工具将高风险与低风险的系统访问区分开来方面,我们看到了更多的创新。”

专家说,人力资源主管还可以通过鼓励其公司重新评估用户访问策略来帮助增强安全性。威廉姆斯说:“随着人们在公司中长期工作,他们往往会积累对系统的访问权,而随着他们在公司内部或周围移动,访问权并不一定会被剥夺。” “在访问系统中的敏感数据方面,员工经常'超额配置',这会给公司带来更大的脆弱性。” 他说,与员工生命周期管理相关的自动化流程可以确保随着人们改变公司角色而改变或删除系统访问权限。

旧金山的网络安全公司Cloudflare的首席技术官James Graham-Cumming说,更加明智地授予数据访问权限是明智的,但有时却被忽略了。Graham-Cumming说:“公司的首席执行官或其他高级领导者可以访问所有或大多数公司系统,这并不罕见,因为他们只是觉得需要这种访问。” “然而,这些人通常是黑客攻击的目标,甚至是更为知名的甚至是公众人物。现实情况是,您的最高管理层或副总裁可能不需要访问所有系统。”

管理供应商风险

随着人力资源部门向其生态系统添加更多技术平台并与第三方提供商建立更多集成,数据安全和隐私威胁可能会越来越大。研究和咨询公司Gartner的最新研究发现,由于人力资本管理系统的构建是为了与许多第三方服务(例如LinkedIn)集成,因此这些集成可以通过“错误配置”使组织面临风险,从而导致意外数据泄漏。Gartner的研究发现,取决于集成程度,供应商系统中的安全问题可能会为攻击者打开大门,就像2014年零售商Target一样

安全专家表示,人力资源主管应确保供应商拥有最佳实践的数据安全性和隐私协议,例如MFA,同时还要通过外部服务组织控制或SOC 2审核,以确认他们遵守建议的操作规范用于数据安全,处理完整性,确保隐私等。

旧金山的网络安全公司MobileIron的首席官员Jared Lucas表示,与安全相关的员工培训比以往任何时候都更加重要,因为恶意软件变得越来越复杂,网络钓鱼攻击越来越多,而不良行为者也使用了AI驱动的方法来入侵公司系统。

卢卡斯说:“有效的,定期更新的寻找和警告方面的培训可以弥补公司数据安全战略中的许多漏洞。”

推荐阅读
推荐专家 更多>
  • 知识技能实战类课程

    战略与规划

    企业创新战略和创新管理

    技术路线、技术平台与产品平台规划

    组织管理

    管理者的创新领导力

    体系流程

    打造高效研发体系

    产品创新研发流程与工具

    核心技能

    成功的产品经理技能修炼

    研发项目管理

    产品需求分析与需求管理

    系统化项目管理能力实训

    创新工作坊

    产品创新工作坊(四课程,详见下表)

    职业创新能力训练工作坊

    创新思维与技能解决工作坊

    关键实践

    TRIZ理论与实务高级班

    质量功能展开QFD训练班

    敏捷研发项目管理(SCRUM master)

    微创新-互联网时代的最佳创新实践

  • 创建市场导向的流程型研发组织》 《研发质量管理》 《研发人员的考核与激励》 《从样品走向量产》 《产品研发体系构建与模板详解》 流程管理与产品管理系列: 《流程体系规划与流程设计实战》 《产品战略规划与路标管理》 《市场驱动的产品开发流程管理》 《成功的产品经理》管理系列: 《从技术走向管理》 《研发人员的核心管理技能提升》
  • 职业化:
    1.《职场高效工作技能训练》
    2.《办公室工作规范与技巧训练》
    3.《行政文秘综合技能提升训练》
    4.《职场礼仪与沟通技能提升训练》
    5.《时间管理与工作效能提升训练》
    6.《高效会议管理》
    7.《高效沟通训练》
    公文写作:
    8.《职场写作力提升训练》
    9.《金字塔思维与公文写作训练》
    10.《最新党政机关公文写作技巧训练
  • 《全球经济危机下的企业发展战略》

    《低碳经济下的企业发展战略》

    《企业战略管理》

    《生产运作管理》

    《供应链与物流管理》

推荐课程 更多>
友情链接