應(yīng)對(duì)內(nèi)部溝通的安全威脅，公司能做什么？

內(nèi)部通訊工具的普及使用極大地改變了組織內(nèi)部的溝通，再加上大規(guī)模裁員，內(nèi)部威脅的風(fēng)險(xiǎn)更高。哪些部門是最有針對(duì)性的，是什么使它們更加脆弱？

談到內(nèi)部威脅，最脆弱的部門包括更廣泛的金融服務(wù)業(yè)（銀行、財(cái)富、保險(xiǎn)等）、醫(yī)療保健、政府和科技/制造業(yè)。從本質(zhì)上講，任何處理跨受監(jiān)管個(gè)人信息（如PII、PCI和PHI）的敏感信息的部門，以及通過(guò)重大非公開(kāi)信息（MNPI）、商業(yè)秘密和密碼等危及安全的數(shù)據(jù)的部門都處于高風(fēng)險(xiǎn)之中。

隨著現(xiàn)代通信工具中這種材料的易于溝通、共享甚至創(chuàng)建，人們更容易通過(guò)事故或意圖過(guò)度傳遞可能造成風(fēng)險(xiǎn)和傷害的信息。想象一下Slack或Teams聊天頻道中作為文件或鏈接共享的客戶列表，或者Zoom或Webex會(huì)議中通過(guò)屏幕共享共享的設(shè)計(jì)文檔，或者聊天中輸入的信用卡或密碼，或者電話中記錄的密碼。

然后，想想錯(cuò)誤的人下載或截屏這些信息、存儲(chǔ)他們可能不應(yīng)該存儲(chǔ)的錄音、無(wú)意中暴露或不當(dāng)使用這些信息是多么容易。然后，認(rèn)識(shí)到大多數(shù)公司今天所依賴的昨天的安全和合規(guī)護(hù)欄，主要關(guān)注電子郵件、通過(guò)網(wǎng)絡(luò)或訪問(wèn)云應(yīng)用程序或設(shè)備的流量，而不是直接與Zoom、Webex、Slack、RingCentral集成，Microsoft團(tuán)隊(duì)和更多團(tuán)隊(duì)致力于解決集成視頻、語(yǔ)音和聊天工具中通信中每天發(fā)生的信息共享和通信行為風(fēng)險(xiǎn)中的人機(jī)交互因素。

內(nèi)部通信如何具體地對(duì)組織構(gòu)成威脅？

與上述相關(guān)，通信工具本身通常是安全的，不會(huì)構(gòu)成威脅，并且是解鎖更好的協(xié)作和節(jié)省成本效率的主要工具。正是人為因素帶來(lái)了真正的風(fēng)險(xiǎn)，因?yàn)樵絹?lái)越多地使用聊天、語(yǔ)音和視頻協(xié)作技術(shù)，人類可能會(huì)犯錯(cuò)誤或行為不端。它暴露出，對(duì)于用戶在協(xié)作工具內(nèi)的通信中造成的各種行為和信息安全風(fēng)險(xiǎn)，組織對(duì)補(bǔ)充政策、程序和護(hù)欄技術(shù)缺乏準(zhǔn)備。

設(shè)計(jì)用于電子郵件、網(wǎng)絡(luò)、云或設(shè)備安全的工具與當(dāng)今通信產(chǎn)生情況和信息共享情況的場(chǎng)景不匹配，正是新的、不斷擴(kuò)大的風(fēng)險(xiǎn)面出現(xiàn)的使用場(chǎng)景。

為了降低通信相關(guān)數(shù)據(jù)泄露的風(fēng)險(xiǎn)，公司必須學(xué)習(xí)哪些策略？

為了降低新的數(shù)字化工作場(chǎng)所的風(fēng)險(xiǎn)，公司必須首先圍繞這些新的溝通工具中的“做”和“不做”制定完善的政策和培訓(xùn)。這應(yīng)該伴隨著定期的政策審計(jì)和抽查以及實(shí)際的政策執(zhí)行。然后，公司必須轉(zhuǎn)向?qū)崿F(xiàn)專門構(gòu)建的技術(shù)，使其能夠檢測(cè)風(fēng)險(xiǎn)，并在其新通信工具內(nèi)的通信中對(duì)該風(fēng)險(xiǎn)采取行動(dòng)。這些安全工具應(yīng)該經(jīng)過(guò)思科、微軟、RingCentral、Slack和Zoom等通信平臺(tái)的審查和認(rèn)證。

通過(guò)調(diào)整安全和法規(guī)遵從性做法，并使用通信工具提供商信任和認(rèn)證的支持技術(shù)，客戶可以設(shè)置護(hù)欄，以最佳方式保護(hù)其員工、客戶和數(shù)據(jù)免受濫用和誤用。隨著信息日益共享，我們的工作場(chǎng)所互動(dòng)在協(xié)作內(nèi)部和過(guò)程中進(jìn)行，優(yōu)化和確保法規(guī)遵從性和安全標(biāo)準(zhǔn)是必要的。

企業(yè)如何提高員工的安全意識(shí)？

為了提高員工的安全意識(shí)，在實(shí)施專門為集成語(yǔ)音、視頻、消息和聊天工具而構(gòu)建的安全和法規(guī)遵從性技術(shù)時(shí)，應(yīng)明確發(fā)布有關(guān)適當(dāng)程序的政策和實(shí)際培訓(xùn)。與公司將技術(shù)用于電子郵件安全、網(wǎng)絡(luò)安全、云應(yīng)用程序安全和端點(diǎn)安全的方式相同，也有一些技術(shù)可以幫助管理監(jiān)控、自動(dòng)化風(fēng)險(xiǎn)檢測(cè)，并在聊天、語(yǔ)音、視頻和視頻中指導(dǎo)員工，以及視頻通信，同時(shí)監(jiān)控并強(qiáng)制用戶在平臺(tái)上啟用適當(dāng)?shù)陌踩O(shè)置……后者是用戶無(wú)意中禁用Zoom等公司在其產(chǎn)品中提供的非常強(qiáng)大的安全功能的常見(jiàn)場(chǎng)所。

第二，技術(shù)可以而且應(yīng)該是透明的，能夠提醒員工它正在監(jiān)控以維護(hù)安全的數(shù)字工作場(chǎng)所。應(yīng)將其視為可視護(hù)欄、警示燈和安全系統(tǒng)，根據(jù)風(fēng)險(xiǎn)在需要時(shí)激活。例如，技術(shù)可以刪除聊天中的客戶信息文件或鏈接，并將其替換為一條消息，指出該文件由于保護(hù)敏感數(shù)據(jù)的要求而被阻止。另一個(gè)例子是，技術(shù)可以通知員工，出于合規(guī)目的正在錄制視頻會(huì)議，在會(huì)議中，可以通知用戶他們應(yīng)該避免的風(fēng)險(xiǎn)行為。在這些場(chǎng)景中，安全和合規(guī)團(tuán)隊(duì)只會(huì)收到風(fēng)險(xiǎn)通知，而不會(huì)收到不相關(guān)、浪費(fèi)時(shí)間的非風(fēng)險(xiǎn)通知。

最后，隨著合規(guī)和安全團(tuán)隊(duì)對(duì)引發(fā)風(fēng)險(xiǎn)的會(huì)議、聊天和對(duì)話進(jìn)行取證審查，可以使用技術(shù)解決風(fēng)險(xiǎn)并通知員工。這些類型的可視護(hù)欄和警示燈可以顯著降低最常見(jiàn)的風(fēng)險(xiǎn)，并通過(guò)減少信號(hào)噪聲，更容易關(guān)注更棘手的風(fēng)險(xiǎn)。

公司組織如何防止不滿或辭職員工造成的安全威脅？

除了盡最大努力公平對(duì)待員工，并設(shè)置基本的不滿抑制措施外，處理邊緣不滿員工的最佳方法是讓違規(guī)行為的規(guī)則和后果廣為人知，同時(shí)也讓大家知道，有一種先進(jìn)的技術(shù)可以并將檢測(cè)到這些違規(guī)行為。

通過(guò)明確所有溝通準(zhǔn)則、信息共享方式以及信息和溝通的存儲(chǔ)方式，雇主可以從一開(kāi)始就降低風(fēng)險(xiǎn)。也就是說(shuō)，法規(guī)遵從性和安全性工具可以實(shí)現(xiàn)風(fēng)險(xiǎn)檢測(cè)，同時(shí)在每次協(xié)作、交互和對(duì)話中精確定位法規(guī)遵從性問(wèn)題的確切時(shí)刻或?qū)嵗?，無(wú)論是視頻、語(yǔ)音、聊天還是其中共享的文件。這些規(guī)則和含義可以在最初的雇傭協(xié)議以及員工作為入職的一部分簽署的典型隱私和行為規(guī)則中進(jìn)行概述和闡述。