如果你花任何时候看书或看新闻,今年,你听说过至少一个主要数据泄露。不仅那些引人注目的事件,损害了公司的声誉,他们也把客户和消费者处于危险之中,因为他们的数据可以很容易地进入公众的手中。
在这些事件后,你会觉得前的网络安全威胁成为现实,公司将不胜感激抬头。然而,这并非总是如此。内部告密者往往面临着来自他们试图保护公司的报复。很多时候,员工甚至不知道为他们提供的法律保护,如果他们成为告密者。
黛布拉·卡茨,卡茨,马歇尔和银行的创始合伙人曾代表了许多谁带来了网络安全问题的最前沿后面临的直接报复从自己的雇主的客户。“我们看到的往往是,当员工写长长的备忘录或长的电子邮件,他们的细节问题,他们马上从那个时刻告诉记者,不愚蠢,不写东西了。所以,几乎从一开始,员工在这些角色可报告这个问题,并试图记录下问题得到它的公司,所以公司分配必要的资源的屏幕上刚刚敲定“。这是谁与网络安全密切合作的员工尤其如此;他们往往觉得好像他们是一个行走的目标,与企业将他们视为威胁,而不是一个盟友。
“这是人们谁在这个部门的工作真的有很多法律保护的,他们也有一个目标在他们的后面运作,公司必须到这个敏感的环境中,”卡茨说。
网络安全威胁也可以与欺诈,其中企业可能只是轻描淡写业务合作伙伴和客户的潜在威胁有关。例如,雇员可能会发现一些漏洞,但被拒绝的资源,使系统保持最新状态。
但是,如果一个公司内部忽视举报人,它可能会导致更多的问题,尤其是如果员工需要关注其给SEC,它通过具有举报人计划多德 - 弗兰克华尔街改革和个人消费者保护法案。通过该计划,告密者是诱因通过接受美国证券交易委员会对公司施加罚款的10%至30%挺身而出。
这些也起到提供保护,以谁的上市公司工作的举报人,以及除了多德 - 弗兰克法案,有萨班斯 - 奥克斯利法案,这既涉及到企业的欺诈行为。除了这两种行为,当谈到报告对敏感数据泄露欺诈性的商业行为和潜在状态造像保护员工。而对于那些在私人公司工作,如果工作人员发现他们的雇主歪曲自己一家上市公司,他们还授予在相同的行为保护。
为什么一个公司风险反弹惩罚雇员谁是简单地试图做正确的事情,并最终帮助企业?一般而言,高管很可能喜欢举报人错在他或她的公司的网络安全实践评估。而不是从根本上改变企业如何保护其数据,客户和资产,高管宁愿坚持使用现状。问题是,在网络安全5年或10年前什么工作,最有可能今天不抱起来,因为技术发展迅速。
相关报道:H-1B举报人文件的新的联邦诉讼
最终,卡茨指出,那些选择忽视网络安全威胁,不采取主动的方式来扫描他们的系统漏洞的公司,会风付出更多到底。当考虑的法律费用成本,雇用人来帮助解决这些问题,美国证券交易委员会罚款,客户流失,以及公司声誉的损害,这要远远大于积极的资源企业的成本可以投资以维持安全的网络安全系统补丁和缺陷。
例如,Target的2013年成本公司在直接费用和Home Depot的$ 264万违约估计,其2004年的违约成本,公司$ 62万美金,这还不包括用于在该公司带来了44起诉讼的法律费用,根据卡茨。该Ponemon的研究所发布今年早些时候指出的平均成本为任何公司,或大或小的数据破坏的报告,是380万$,这意味着小企业也不能幸免于网络安全威胁的惊人成本无论是。对于医疗保健行业,它可以处理一些最敏感的客户数据,Ponemon的报告每个被盗记录的平均成本为$ 363
对于员工来说,了解自己的权利,当谈到报告伦理问题与贵公司是非常重要的。“如果有人认为他们是脆弱的这个报复他们需要保持一个全面的日志记录他们的努力提高的问题和他们得到了当他们试图提出这些问题的回应,”卡茨说。虽然很多公司都有道德热线和800个号码打电话,Katz说这并不总是最安全的途径,为员工伸手。在现实中,保证员工的安全,当谈到告密,企业需要创建一个可令它的工人,他们可以存在于周围的安全威胁问题和疑虑的环境。
相关报道:请董事会真正关心网络安全?
确保您的企业没有牺牲品通过削弱网络安全漏洞造成的损失与免遭报复的零容忍政策开始,根据卡茨。“他们应该尽一切可能真正提供资源和支持,对这些人,切实做好自己的工作,”她说,“而且企业需要明白,明明是他们的业务至关重要没有这些类型的漏洞,但它们还面临来自告密者本身显著的法律责任“。
这个故事,“更改举报人报复文化”最初是由出版CIO 。