问什么部门负责组织中的数据安全性和最有可能的答案是,“IT”。但一些专家说的不应该是IT单独 - 即更好的安全性,需要与人力资源(HR)更紧密的合作。
其中一个例子,他们说,是违反上述过去的2月26日在美国联邦存款保险公司(FDIC),当离职员工无意中下载了44000个客户记录,包括个人身份信息(PII),一个USB拇指驱动器。
幸运的是,官员说,有做没有明显的伤害。该漏洞发生在周五,该机构的数据丢失防护软件检测到以下星期一,联邦存款保险公司立即联系前雇员,她在第二天回到住处。
她还签署了一份宣誓书说她没有使用或共享的信息。而FDIC指出,前雇员被授权访问数据。她只是不应该有她带来的任何家庭。
但是,这不是唯一的此类事件。华尔街日报报道大约一个月前,该FDIC has reported seven such breaches在刚刚过去八个月,都来自离职员工带走了数据,并可能影响16万名美国人的PII。
因此,IT之间和人力资源阻止任何这些事件能够更好地合作?专家的意见是混合的。
虽然这是很显然是一个“人”的问题,它已经很明显了几十年,人是所谓的“最薄弱的环节”安全链,最安全意识培训是由它来完成,而不是HR。
It is also IT that is responsible for protecting data, for knowing where it is and who has access to it when – otherwise known as身份和访问管理(IAM)。即使是设计用于检测提前几个月,一个员工表现出的行为,他有可能离开软件是IT管理,而不是HR。
[相关ON CSO:How to prevent data from leaving with a departing employee]
尽管如此,约瑟夫·卢米斯CyberSponse的创始人和首席执行官,说这就是“总是好的做法,对IT和HR之间有很强的联系。”
Joseph Loomis创始人兼CEO,CyberSponse
当有故障,他说,这可能是由于“坏的过程。”在跟踪组织的“人头营业额,人才和文化转变的要求,所有的信息往往是失去了与以前的IT管理员,”他说。“我们称之为‘纸牌屋吧。’事情有涨有跌,每次有人来了又走。”
和跟踪的到来,去和员工的转变,他说,非常多的人力资源的范围之内。“只要有参与人的行为,人力资源也应参与进来,”他说。
艾拉温克勒,SecureMentum的总裁说,它应该是显而易见的,“HR应该告诉它,当人们离开。HR在确保员工的适当分离非常具体的目的“。
产品营销经理指导软件查尔斯崔,同意。他说,虽然数据丢失防护(DLP)技术,专注于数据的运动,“他们经常关闭是由于误报,有效地阻碍有效的业务运营率很高。”
查尔斯·崔产品营销经理,指导软件
所以,他说,对于HR通知IT员工时离开,即使分离计划和友好的,所以这些员工的活动,可以更加密切监测是非常重要的。“这也是人力资源的责任,适当地教育员工就业过程中产生的任何工作,法律上属于组织,而不是个人,至少在美国,”他说。雷竞技比分
达纳Simberkoff,首席合规性和风险官,在重大节日或说,人力资源和IT既要在培训和员工的监督“联合合作伙伴” - 尤其是那些谁是一个组织的转出。
至少,她说,组织应强制执行时员工留下,需要政策“他们删除的数据进行审查,他们走之前获得批准,以及他们与他们的客户数据系统的访问被限制和监督。”
达纳Simberkoff首席合规性和风险官,有重大节日
特雷弗山楂,袋熊Security Technologies的CTO,HR说,“需要密切协调,联络IT当员工离开,如果他们是一个安全隐患进行沟通,并确保一个“关闭登机检查清单之后。对于那些在组织中移动的员工,强大的IAM功能将允许组织审核用户权限和特权。”
和史蒂夫·康拉德,在MEDIAPRO董事总经理说,他认为许多漏洞,其中包括那些在FDIC,是多种问题的结果 - 他们的训练和数据分类之中。
“不同类别的数据似乎已的混合和的(FDIC)的员工并不容易地识别PII有危险,”他说。“这违反可能已经停止了与更有效的安全意识计划。HR肯定可以帮助IT设计,能产生更好的整体效果更好的培训经验。”
没有人争议,在一个组织需要各部门协同工作,并认为这可能是人力资源和IT尤其如此。但一些专家,当涉及到违反像那些在联邦存款保险公司,最大的责任在于IT说。
Yonatan Striem - 阿米特,联合创始人兼首席技术官Cybereason表示,FDIC很幸运,涉及的前雇员谁了44000个客户记录,该事件“是不是故意的,是没有恶意。”
但他指出,因为她有足够的权限来访问数据,“任何人都可以有,以及如果他们只是冒充她。”
Yonatan Striem - 阿米特,创始人和CTO,Cybereason
和追赶入侵者冒充真正的员工显然是一个IT的责任。“为企业无论是在数据层面和终端层面,并与它的政策的改善总体拥有控制重要的是,” Striem - 阿米特说。
还有普遍认为,更好的数据管理 - 知道哪些地方是,正确分类它 - 将帮助企业跟踪它,保护它。这是一个IT功能。
作为Simberkoff所说的那样,“你需要把周围的保护图片从公司野餐为客户的关键基础设施的设计和建设信息,信用卡信息,或者你的员工福利信息同样的安全协议?”
但她也说,她认为,“HR应在确保员工不会有意或无意地提供了太多的访问数据,他们不应该发挥关键作用。
“一般情况下,员工应给予访问/权限可以允许他们做他们的工作最少的,”她说。“不幸的是,负担过重,IT管理员往往工作以相反的方式,给用户带来过多的访问,让他们(IT)不要在过度,有时甚至无法工作负载的负担下沉。”
The bottom line, Conrad said, is that each department can help the other – while IAM is nominally a function of IT, HR is more likely to know when an employee’s privileges or access should change. They need to be closely linked, he said, “to ensure privileges and access levels are in sync with the employees position and duties. Many times, once privileges are granted, they never go away. This definitely increases a company’s risk profile.”
最后,人们普遍认为员工培训既要定期举行的活动和合作努力。这是不可能的,“一个一年一次的培训课程,而是它必须是整个公司的文化无处不在,” Simberkoff说。
Conrad said good training should involve the marketing team as well as IT and HR, since the goal is to “sell” employees on good security practices.
“应该与营销合作伙伴,以了解如何传递消息是刺,并得到更好的结果,”他说。“最认知培训is of such low quality that it’s a wonder it works at all.”
事实上,在世界上最好的技术不能胜过一个不小心或无能的员工。“如果人们没有受过训练,那么不好的事情会发生,”温克勒说。
这个故事,“提高你的安全:获取IT和人力资源合作”最初发表CSO 。