安企神电脑监控软件 在线试用
扫码咨询客服
安企神电脑监控软件、局域网监控软件
首页
功能对比
下载中心
购买咨询
客户列表
关于安企神

如何更好规避新员工入职风险 (如何降低新入职员工内部威胁的风险)

立即下载试用

本文简介:本文主要为大家整理了 “如何更好规避新员工入职风险” 相关的内容,主要有 如何降低新入职员工内部威胁的风险, 新员工在安全方面成功入职的七个关键步骤, 等内容,文章部分观点不代表本站观点,如有侵权或其它问题请反馈客服。

如何更好规避新员工入职风险

1、如何降低新入职员工内部威胁的风险

新员工可以为企业带来新的想法和独特的技能,但也可能会对企业构成威胁。由于粗心大意、缺乏网络安全意识或怀有恶意等原因,它们可能会危及您企业的敏感数据和IT系统,造成数据泄漏。对于人员流动量大的大型企业来说,来自新员工的潜在内部威胁尤其令人担忧,在安全方面彻底监控和监督所有新员工具有挑战性。


员工在一家新公司的第一天经常有大量的信息、文书工作和会议。新来者必须专注于他们的新项目和职责,在网络安全要求方面可能缺乏关注。一些新员工认为网络安全不是优先事项,甚至可能想故意损害公司的网络安全。

这就是为什么您应该专注于保护您的企业免受内部威胁的原因。根据2022年数据泄漏调查报告显示,由内部威胁造成的数据泄漏中人为造成的数据泄漏占其中的82%。

随着每批新招聘员工以及其中许多人远程工作,减轻新员工的内部威胁风险必须是每个企业的首要任务。在内部恶意行为者和疏忽员工造成任何伤害之前检测他们至关重要。

如何降低来自新员工的内部威胁风险?

  1. 测试您的新员工

为了在员工开始在您的公司旅程之前就切断潜在风险,请确保人力资源部门在雇用候选人之前正确检查候选人的背景和安全技能。

背景调查不仅可以帮助您确保候选人具备在工作中取得成功所需的条件,还可以过滤掉在您的工作场所可能欺诈或鲁莽行事的个人。

  1. 让网络安全成为入职流程的一部分

对于新人来说,您企业的第一天是最压倒性的。为新员工提供足够的时间和资源来充分掌握您的网络安全要求以避免无意的错误至关重要。请确保新员工:

  • 了解重要的网络安全政策。
  • 为新人安排网络安全培训。
  • 阅读并签署重要文档。
  1. 保护新员工的远程访问

远程办公使新员工的风险成倍增加,因为广泛的远程工作环境扩大了攻击面。因此,您可能希望为远程办公人员提供额外的帮助和指导,以保护他们的远程工作环境。安企神数据防泄漏定义了通过远程网络、VPN和其他方式访问企业数据的所有安全程序。

  1. 监控和记录新员工的活动

检测新员工的恶意行为非常具有挑战性,因为它们通常伪装在日常工作中。即使被抓住,新员工也可能将他们的可疑行为解释为缺乏经验。安企神员工电脑监控可以帮助您发现可疑行为或检测无意内部人员的疏忽行为。

  1. 限制新员工访问敏感数据

新员工不应该像您的成熟员工那样受到信任。向新员工授予对基础结构的完全访问权限并不是保护企业数据的最佳策略。为了最大限度地降低新人员内部威胁的风险,请考虑限制他们对关键资产的访问权限,并根据需要提供访问权限。安企神终端安全管理可以为员工设置最小访问权限,保护敏感数据。

准备好应对新员工的内部威胁

实施上述所有做法并不能保证您永远不会面临内部威胁。你仍然需要做好准备。安企神数据防泄漏详细的事件响应计划将为您的网络安全团队提供深思熟虑的步骤,以应对不同类型的事件,从而为您的网络安全团队提供快速有效的行动。



2、新员工在安全方面成功入职的七个关键步骤

资深安全领导者表示,从员工入职的第一天开始,就有办法让安全培训更有效。他们提供了七种关于如何使安全入职更有效的策略。

新员工在安全方面成功入职的七个关键步骤(图1)

Capital One公司首席执行官Jerich Beason表示,“辞职潮”等同于“入职潮”。 他在一篇帖子中写道,“如果你是网络领导者,今年很可能会招聘新人才。根据我的经验,这为新员工入职时就为他们的今后的工作定下了基调,不要掉以轻心。给他们留下第一印象的机会只有一次。”


他说,入职期间要处理的关键任务包括概述安全愿景、使命和核心价值观,以及引导新员工了解安全战略和路线图。


其他首席信息安全官也赞同Beason的见解,并声称让新员工快速有效地加入企业的网络安全计划至关重要。


TalentLMS公司和Kenna Security公司的2021年报告指出需要关注这一领域。他们对1200名员工的网络安全习惯、最佳实践知识和识别安全威胁的能力进行了调查,发现尽管69%的受访者接受了雇主的网络安全培训,但61%的受访者表示在这些主题的基本测试中失败。


资深安全领导者表示,从员工入职的第一天开始,就有办法让安全培训更有效。他们提供了七种关于如何使安全入职更有效的策略。


1、确保他们知道网络安全是工作的一部分


新员工需要了解大量信息,因此他们在入职过程中保留高度技术性数据或非常详细流程的能力可能会受到限制。


SANS研究所安全意识和培训项目的技术总监Lance Spitzner说,“当新员工入职时,有些人可能会不知所措,而他们有一份新工作、新技术、新老板。”


因此,Spitzner建议,与其一次性提供所有必要的网络安全培训,不如传递关键信息,也就是为员工在安全方面负有责任。


他说,“我们不希望这些人认为,‘我们有防病毒软件,有安全团队,所以我们在安全方面做好了准备。”他指出,最有效的入职程序是设定期望和培养安全意识。他补充说,“他们确保新员工知道网络安全是自己工作的一部分,这不仅仅是网络安全团队的工作,他们和其他人一样对此负责。”


2、确保新员工知道如何安全地完成工作


鉴于新员工获得的信息量巨大,资深的首席信息安全官表示,召开有效的安全会议专门教会他们如何开始工作,并确保他们掌握了这些基本安全知识。


Protiviti公司安全和隐私实践部的常务董事Andrew Retrum说,“我看到一些员工入职安全意识培训非常笼统,当他们结束培训时,就会有一些指向特定公司政策的链接以及发生安全事件之后的联系信息,以及指向安全的链接门户网站。如果我是新员工的话,这样的培训并不是很有用,实际需要的是在幻灯片上提供安全工具的详细信息。”


他表示,与其相反,入职培训应该围绕向新员工传授具体的安全特征、功能和工具,以及企业关于安全电子邮件、正确分类数据、与第三方安全交换受保护信息以及以安全方式处理其他典型任务的政策。


Retrum说,“这需要清楚地表达出来,所以当员工开始他们的日常工作时,他们知道如何安全地完成。”


3、让员工参与


资深的首席信息安全官的另一条相关建议:不要空谈,而是让他们参与。


JAMS公司负责信息安全的副总裁兼首席信息安全官 Rich Lindberg说:“我们都要对安全负责,也是安全成功的一部分。我们都必须在这方面共同努力。但接受这种理念归根结底是向他们表明展示他们的重要性并建立联系。”JAMS公司是一家提供替代争议解决服务的企业,也是美国信息管理学会(SCSIM)南加州分会的咨询委员会成员。


为了建立融洽的关系,Lindber表示他或他的团队成员将会花费时间与新员工进行沟通。


他说,“我可以为他们提供信息简报,或者让他们遵守一些规则,但与其相反的是,我们可以为他们提供帮助,并在他们需要帮助时随时联系我们。我对待新员工就像对待客户一样,并确保提供高水平的服务。”


4、为员工量身定制入职培训


全球科技商Insight Enterprises公司副总裁兼首席信息安全官Jason Rader表示,针对新员工的大部分信息传递都是跨组织的标准信息,但首席信息安全官需要的不仅仅是通用培训模块。


Rader说,“我们已经收到了反馈,这些模块可能过于通用,以至于它们毫无用处。”他解释说,现成的培训选项可能满足合规性要求,但不一定配备具备安全运营所需知识的新员工。


他看到培训课程使用的视频仅说明“遵循公司的自带设备政策”和“遵循公司的密码政策”,而没有提供实际政策。


因此Rader表示,他会注意用更多特定于Insight Enterprises公司安全计划的信息来补充基本的入职材料。他补充说,“我正在努力使入职材料更加具体,我还和首席信息官探讨其作用。”


同样,Retrum建议首席信息安全官根据需要更新他们的培训。正如他所指出的那样:“风险会发生变化,因此18个月前的内容可能与现在无关。”


例如,他看到安全培训侧重于物理安全,但没有提到网络攻击者通过短信进行欺骗和钓鱼,网络攻击的风险正在上升。


5、以标准化方法涵盖基础知识


微软首席安全顾问、曾任首席信息安全官和入职安全检查表的作者Terence D.Jackson表示,他遇到过一些企业的员工的安全入职是以临时方式完成的。


他回忆说,“它没有实现正式化,更多的是部落知识,没有正式文件或培训材料支持。”


Jackson和其他人警告不要使用这种方法,并且不要假设当今的员工对网络安全有基本的了解。


他们强调需要以标准化、可重复的方法涵盖安全基础知识,以确保每个人确切地知道对他们的期望,无论他们在劳动力中的角色、经验和年龄。


Rader说,“不能指望某人遵守他们不知道的规则。”


Beason表示,CapitalOne公司通常会招募各种经历的员工,但他们过去的经验并不能保证会知道企业对他们的所有期望。


他说,“我们希望新员工知道我们公司的期望,因为每家企业在安全方面的要求并不一样。因此,在新员工进入企业的工作环境之前,希望确保他们能够安全地在这一环境中运行,以便他们了解最佳实践和可接受的使用方式,如何使用电子邮件,以及企业对他们的期望。企业需要向他们提供这些基本知识。”


6、为个人和角色量身定制培训


尽管围绕基本安全元素的信息应该是一致和标准化的,但一些首席信息安全官表示,他们已经成功地以不同格式共享这些信息。


Jackson说,“这是一种基线方法,能够根据个人的需要进行调整,并从中构建。我相信最好的项目都包含了这种心态。为员工提供他们需要的方式;更加灵活地满足他们的需求。这样做的项目往往比那些一刀切的项目更受欢迎。”


Jackson指出了他的入职经验,就是让新员工可以阅读或收听培训材料或同时阅读和收听。他表示,他喜欢收听培训材料,但在接受更复杂的信息时更喜欢同时阅读和收听。


此外,成功的入职培训计划倾向于为角色和业务部门量身定制培训材料,并使用培训工具让新员工快速了解他们的企业安全,以便他们可以将更多注意力集中在培训材料上。


他补充说:“企业尽量以员工为中心。”


7、将入职培训作为持续培训的一部分


IT服务管理商Genpact公司的高级副总裁兼首席信息安全官Ram Hegde认为,给新员工的安全信息应该是轻量级但有效的信息。


和其他人一样,他认为新员工在开始工作时无法吸收他们获得的所有材料。


Hegde补充道:“因此,现在可能不是让他们接受大量材料或计划完成大量工作的最佳时机。因此需要考虑基础培训,关注最大风险。”


考虑到这一点,他使用了一个在线互动培训模块,让新员工能够快速浏览他们已经了解的材料,并花更多时间了解新信息。


他说,“这确保他们得到他们需要的东西,但它不会让他们超过必要的时间。”他补充说,对以前使用的材料有反馈,这些材料冗长、无聊和多余,而所有这些都促使企业转向到更短、更吸引人的模块。


随后,该公司采取了后续行动,为新员工提供了更详细的培训,帮助他们适应工作。


Hegde解释说,“对我们来说,我们希望确保首先触及关键方面,考虑到各种背景,然后在下游,根据员工的情况进行更有针对性的安全培训。”


其他人强调这种方法的重要性,指出它与广泛持有的最佳实践相一致,即安全意识培训不是一种一劳永逸的做法。


Spitzner说:“无论互动性如何,都无法在30分钟的培训中建立良好的安全行为。因此,确保新员工具有安全方面知识的关键是在他们的整个职业生涯中进行持续培训。因此,当他们加入企业时,告诉这是他们的责任,只要员工在公司中工作,就会不断接受网络安全培训。这种持续培训才是真正构建安全文化的基础。”