正文

缓解内部威胁:预测和管理负面因素工作环境中的问题

admin
admin V管理员 /0 评论 /230 阅读
1217
此篇文章发布距今已超过694天,您需要注意文章的内容或图片是否可用!

回复“221106”中获得“预测和管理负面因素工作环境中的问题”PDF版




最佳实践:预测和管负面因素工作环境中的问题


保护措施

组织必须在新员工的第一天就将其政策和实践传达给新员工。这些政策和做法应包括可接受的工作场所行为、着装规范、可接受的使用政策、工作时间、职业发展、冲突解决和其他工作场所问题。仅仅存在这些政策是不够的;新老员工都必须了解这些政策以及违反这些政策的后果。

组织必须一致地执行其政策,以维持和谐的工作环境。政策执行不一致会很快导致工作场所的敌意。

在许多分析的内部威胁案例中,组织中不一致的执行或感知的不公正导致内部人员不满。同事们常常觉得明星演员凌驾于规则之上,受到特殊待遇。很多时候,这种不满情绪导致内部人员破坏信息技术(IT)资产或窃取信息。

加薪和升职(例如,年度生活成本调整、绩效考核)会对工作环境产生重大影响,尤其是当员工期望升职或升职但没有收到时。员工不应将这些奖励视为其工资的一部分,除非他们确信他们会在合同中获得这些奖励;即便如此,合同中规定的赔偿金额也可能是可变的。然而,当这些奖项成为公司文化的一部分时,员工会年复一年地期待它们。

绩效期结束时,员工的期望可能未得到满足。如果管理层事先知道组织无法按预期提供加薪或晋升,应尽快通知员工并做出解释。工作场所环境中财务不确定性加剧的其他时间包括合同履行期的结束,特别是在没有明确表明合同将续签的情况下,以及组织裁员的任何时候。

如果员工知道劳动力将减少,但他们不知道谁会被解雇,组织应该格外警惕并部署增强的安全措施。同样,例如,输掉重新竞标的现有承包商可能会感到失望。在所有围绕加薪、晋升和裁员的不确定性或失望情绪增加的情况下,组织应提高对异常行为的警惕,并制定增强的安全措施以降低内部风险。

有问题的员工需要一种在组织中获得帮助的方法。员工必须能够与管理层或人力资源人员公开讨论与工作相关的问题,而不必担心遭到报复或负面后果。当由于外部因素(包括财务和个人压力)而出现劳动力问题时,劳动力成员可以发现员工援助计划 (EAP) 等服务很有帮助。这些计划提供保密咨询以帮助员工,帮助他们恢复工作表现、健康或总体幸福感。CERT Insider Threat Incident Repository 中的案例表明,财务和个人压力似乎会激励许多内部人员窃取或修改信息以获取经济利益。如果这些内部人员能够访问 EAP,他们可能会找到另一种方法来解决他们的问题。

挑战

在实施此最佳实践时,组织可能会面临以下挑战:

  1. 1.  预测财务状况组织发现很难预测财务状况可能影响员工工资和奖金的问题。

  2. 2.  维护员工和管理层之间的信任员工

成员可能不愿意与他们的经理分享有关工作相关问题的信息,因为担心这会影响他们就业的多个方面。

案例研究:Turncoat 员工

一家制造公司聘请知情人担任销售员。该组织要求其销售人员定期更新专有的客户和潜在客户跟踪系统。在被警告不按要求更新系统将被解雇后,知情人仍然忽视更新;该组织没有解雇他,而是以 2,500 美元的减薪对内部人员进行处罚。

知情人变得不满并寻求与竞争对手的工作。他告诉竞争对手,如果他被录用,他计划随身携带客户信息。受害组织对他的活动产生了怀疑,导致他告诉竞争对手的联系人删除他们所有的电子邮件通信,而联系人也照做了。

知情人收到了竞争对手的工作邀请。两周后,他访问了受害组织的计算机系统,并将客户记录下载到他家中的计算机上。然后他给受害组织发了一封电子邮件,说他立即从受害组织辞职,并在第二天开始为受益组织工作。他立即开始联系受害组织的客户,并为受益组织招募他们。一旦受害组织发现他的行为,它就会通知执法部门。

执法部门检查了知情人的电脑,发现有60 MB的数据已被删除,并且电脑被多次碎片整理。受害组织对知情人及受益组织提起民事诉讼。这些诉讼的结果是未知的。

在这种情况下,内部人员被警告了他的表现问题,但当组织降低他的薪水时,他仍然感到不满。受害组织应该在内部人员被警告或减薪时将其列入观察名单。如果这样做了,他可能在披露客户数据之前就被阻止了。该案例还强调了保密协议(NDA)、可接受的使用协议甚至非竞争协议的必要性。

案例研究:对裁员不满

受害组织是一家银行,引发了对裁员不满的员工大规模辞职。在辞职之前,这些内部人员从受害组织的客户数据库中复制信息,将其粘贴到 Word文档中,然后保存到磁盘中。一位内部人士在她辞职当天签署了一份非招揽协议,后来通过远程访问窃取了客户信息。在这些事件发生前六个月,她和一位前同事计划成立一家新公司并雇用他们的同事,并与他们举行会议。该组织对她提起民事诉讼。该案例凸显了组织主动保护其数据的必要性。裁员加剧了组织的紧张和压力。这种紧张会导致消极的气氛;管理层应该意识到这种气氛带来的内部风险。作为组织风险管理过程的一部分,它应该识别关键知识产权(IP)并实施适当的措施以防止其未经授权的修改、披露或删除。如果本案中的受害组织实施了技术措施,包括对敏感文件进行额外审计,则可能有可能更早地进行检测和预防。

快速获胜和高影响力的解决方案

所有组织

本小节中的建议适用于所有组织。


  • 加强对存在即将发生或正在发生的人事问题的员工的监控符合组织的政策和法律。启用额外的审计和监控控制政策和程序中概述。定期审查审计日志以检测外部活动劳动力成员的正常工作范围。将这些日志文件的访问权限限制在需要了解的人员。

  • 各级管理人员必须定期向所有员工传达组织变化。这种沟通使组织更加透明,员工可为了他们的未来更好地计划。

本文整理自:卡内基梅隆的第七版《缓解内部威胁的常识指南》


  2. >>>等级保护<<<








  19. >>>工控安全<<<
  28. >>>数据安全<<<

  37. >>>供应链安全<<<







缓解内部威胁:预测和管理负面因素工作环境中的问题


推荐站内搜索:最好用的开发软件、免费开源系统、渗透测试工具云盘下载、最新渗透测试资料、最新黑客工具下载……
周飒博客-ZhouSa.com