5+ – Wystarczy pięć sposobów, jak HR może poprawić cyberbezpieczeństwo w całym kraju, apel skierowany do nauczycieli i uczniów.
Naruszenia bezpieczeństwa stają się coraz bardziej ukierunkowane i kosztowne. Badanie brytyjskiego rządu dotyczące cyberbezpieczeństwa w 2019 r. Pokazuje, że jedna na trzy firmy (32%) doświadczyła ataku lub naruszenia w ciągu ostatnich 12 miesięcy.
Średnio koszt tych ataków wyniósł 4180 GBP na każdą mniejszą firmę i prawie 10 000 GBP na organizacje charytatywne, które zostały zaatakowane, ale średnie i większe firmy, niektóre z nich, zapłaciły znacznie więcej.
Około jedna trzecia (32%) firm i dwie na dziesięć organizacji charytatywnych (22%) informuje o naruszeniach bezpieczeństwa cybernetycznego lub atakach w ciągu ostatnich 12 miesięcy. Podobnie jak w poprzednich latach, jest to znacznie wyższe, szczególnie wśród średnich przedsiębiorstw (60%), dużych przedsiębiorstw (61%) i organizacji charytatywnych o wysokim dochodzie (52%).
Gdy firmy zwiększają swoją cyberobronę za pomocą bardziej wyrafinowanej technologii, atakujący wybierają bardziej miękkie cele. Ataki polegające na błędach ludzkich, takie jak wyłudzanie informacji (zidentyfikowane przez 80% respondentów) i podszywanie się pod organizację (28%), obecnie przewyższają liczbę wirusów, programów szpiegujących lub złośliwego oprogramowania (27%).
Incydenty mogą spowodować utratę danych lub nawet duże sumy pieniędzy. W ubiegłym roku firma wakacyjna Butlin przyznała, że w wyniku ataku phishingowego mogło dojść do naruszenia danych osobowych nawet 34 000 gości.
Tymczasem dyrektor finansowy holenderskiej firmy filmowej Pathe został zwolniony po wpłaceniu ponad 19 milionów euro na konto bankowe w Dubaju wraz z dyrektorem generalnym Edwinem Slutter, który go do tego upoważnił. Obaj mężczyźni wierzyli, że postępują zgodnie z instrukcjami wysłanymi pocztą elektroniczną z głównej siedziby w Paryżu i że fundusze związane są z przejęciem firmy. Obaj później złożyli wniosek o nieuzasadnione zwolnienie.
Cyberbezpieczeństwo tradycyjnie postrzegane jest jako zadanie dla działów IT, ale gdy zmieniają się zagrożenia, nie są w stanie utrzymać linii samodzielnie. Stało się ono wyzwaniem dla całej firmy, a specjaliści HR mają do odegrania kluczową rolę w jego zminimalizowaniu.
Ochrona przed złośliwym oprogramowaniem i oprogramowanie antywirusowe są niezbędne, ale technologia nie odstraszy intruzów, jeśli niska świadomość personelu lub polityka dostępu skutecznie pozostawiają szeroko otwarte drzwi.
Specjaliści HR muszą zapewnić aktualizację umiejętności pracowników w celu uwzględnienia bezpieczeństwa cybernetycznego. Większość podjęła już pierwsze kroki, zwiększając środki ochrony danych w świetle ogólnego rozporządzenia o ochronie danych, a badanie cyberprzestępczości wykazało, że rozporządzenie to zwiększyło świadomość bezpieczeństwa, jednak w dużej mierze skoncentrowano się na danych.
Organizacje mogą zrobić jeszcze więcej, aby uchronić się przed zagrożeniami cybernetycznymi. Obejmuje to podejmowanie ważnych działań, które wciąż są stosunkowo rzadkie, dotyczących zaangażowania zarządu na poziomie bezpieczeństwa cybernetycznego, monitorowania dostawców i planowania reagowania na incydenty.
Organizacje muszą teraz rozważyć bezpieczeństwo cybernetyczne jako całość.
Oto pięć kroków, które zespoły HR mogą podjąć, aby zminimalizować zagrożenia:
1. Współpracuj z IT
Dział HR i inne działy muszą ściśle współpracować z działami IT, aby zarządzać cyberbezpieczeństwem. Idealnie powinny istnieć ramy dla całej firmy, które łączą różne elementy, w tym technologię, zasady i procedury oraz zapewniają, że wszyscy rozumieją swoje role i obowiązki.
2. Zrozumieć podstawy
Podczas gdy specjaliści HR nie muszą znać wszystkich szczegółów technicznych, przydatne będzie poznanie podstaw cyberbezpieczeństwa. Rządowy przewodnik po Cyber Essentials określa najważniejsze zasady. Najbardziej istotna dla HR jest potrzeba kontrolowania dostępu użytkowników, przy czym podstawową zasadą jest to, że „pracownicy powinni mieć wystarczający dostęp do oprogramowania, ustawień, usług online i funkcji łączności urządzeń, aby mogli wykonywać swoją rolę. Dodatkowe uprawnienia powinny być przyznawane tylko tym, którzy ich potrzebują ”.
3. Wprowadź odpowiednie zasady i procedury
Prawa dostępu powinny być określone w polityce kontroli dostępu użytkownika, przyznawane w ramach procesu wdrażania, regularnie sprawdzane, a następnie cofane, gdy pracownik opuszcza organizację. Powinny również istnieć odpowiednie kontrole haseł oraz proces przydzielania tajnych informacji uwierzytelniających użytkownikom.
Należy również wziąć pod uwagę korzystanie z urządzeń mobilnych i pracę zdalną. Firmy powinny mieć politykę szczegółowo określającą dopuszczalne korzystanie z urządzeń mobilnych, a także politykę dotyczącą środków bezpieczeństwa w celu ochrony informacji, do których dostęp jest uzyskiwany, przetwarzany lub przechowywany poza biurem. Media społecznościowe to kolejne ryzyko.
Zasady i procedury zostaną określone na podstawie okoliczności organizacji i tego, czy chce ona po prostu wypełnić swoje zobowiązania prawne lub osiągnąć uznany standard, taki jak Cyber Essentials lub ISO / IEC 27001: 2013 .
Pracodawcy powinni również przeprowadzać kontrole przeszłości w ramach procedur sprawdzania personelu i mieć postępowanie dyscyplinarne wobec tych, którzy naruszają zasady bezpieczeństwa.
W 2014 r. Niezadowolony pracownik Morrisons umyślnie ujawnił pensje pracowników, dane bankowe i numery ubezpieczenia społecznego 100 000 pracowników do gazet i stron internetowych służących do wymiany danych. Chociaż został skazany na osiem lat więzienia, Morrisons został również uznany za odpowiedzialnego za swoje czyny. Sprzedawca otrzymał zgodę na odwołanie się od decyzji do brytyjskiego sądu najwyższego.
4. Przeprowadzić szkolenie personelu
Wszyscy pracownicy powinni przejść szkolenie w zakresie bezpieczeństwa cybernetycznego, aby uświadomić im zasady bezpieczeństwa, zasady i procedury ochrony danych, a także wszelkie szczególne zagrożenia, na które mogą się natknąć. Szkolenie z zakresu bezpieczeństwa cybernetycznego powinno być częścią procesu wdrażania, ale w każdym przypadku pracownicy muszą regularnie otrzymywać aktualizacje.
Podczas gdy pracownicy na wszystkich poziomach są odpowiedzialni za ochronę danych pracodawcy, dyrektorzy mają szczególny obowiązek zachowania ostrożności. Organy regulacyjne wyjaśniły, że jest to kwestia na poziomie zarządu i są skłonne pociągnąć dyrektorów do odpowiedzialności za wszelkie naruszenia. Narodowe Centrum Bezpieczeństwa Cybernetycznego twierdzi, że bezpieczeństwo cybernetyczne powinno być częścią zestawu umiejętności menedżera, a jego wytyczne stanowią, że „pracownicy wykonawczy powinni być w równym stopniu świadomi głównych słabości swoich zasobów IT, jak ich statusu finansowego”.
5. Uruchom monitorowanie
Firmy muszą być w stanie wykrywać zagrożenia na wczesnym etapie. Chociaż wykrywanie naruszeń może zwykle wykraczać poza kompetencje HR, zespoły HR muszą wiedzieć, czy personel nie przeprowadził procedur. Konieczny jest również plan awaryjny na wypadek naruszenia danych lub innego incydentu.
Pracodawcy powinni również prowadzić dokumentację w celu zachowania zgodności. Nie każdemu incydentowi można zapobiec, ale powinni oni być w stanie wykazać, że podjęto kroki w celu zminimalizowania ryzyka bezpieczeństwa.
Podczas gdy duża część odpowiedzialności za bezpieczeństwo cybernetyczne spoczywa na działach IT, systemy organizacji nie będą szczelne, chyba że błąd ludzki lub błąd w sztuce zostaną rozwiązane przy pomocy wkładu HR.
źródło: Personel dzisiaj , Ankieta na temat cyberprzestępczości DCMS :
