一項新的研究表明，安全團隊必須全面了解網(wǎng)絡安全，合規(guī)性，技術和人力資源，才能真正解決由員工帶來的風險對業(yè)務的影響。

很多公司抱著 “內(nèi)部威脅不會出現(xiàn)在我們這里” 的心態(tài)，因為他們相信自己雇傭了最優(yōu)秀、最誠實和最值得信任的員工。 鑒于多年前進行的員工調查，一開始情況可能如此。但是后來，隨著個人生活中出現(xiàn)多重壓力，例如離婚，酒駕，或者因為其他原因被逮捕，破產(chǎn)，留置權問題，情況會發(fā)生變化。

[[261496]]

大多數(shù)時候，這些壓力源來自外部，雇主們注意不到。在某些情況下，這些壓力會導致員工做出擾亂內(nèi)部安全的行動，使組織機構面臨風險，即使高管們對個人情況一無所知。

最近出現(xiàn)了很多有關員工的事件，這些員工問題對大型企業(yè)的財務和聲譽產(chǎn)生了負面影響：

• 一名前Goodwill員工通過偽造工資單記錄，從該慈善機構偷走了93,000美元。
• 一名居心不良的員工闖入了特斯拉的制造操作系統(tǒng)，并向外部發(fā)送了高度敏感的數(shù)據(jù)。
• Uber的60人危機小組正在處理每周向該公司報告的1,200起嚴重事件，包括口頭威脅，身體和性侵犯，強奸，盜竊和嚴重交通事故。

好消息是，很多安全主管已經(jīng)開始意識到內(nèi)部員工可能帶來的風險。根據(jù)Endera最近對200名安全主管進行的調查，平均而言，擁有1000名或以上員工的公司，每周至少會發(fā)生三起和員工相關的事件，即每年156起，其中包括欺詐、網(wǎng)絡安全風險、職場暴力以及設備盜竊或丟失。這份報告中的幾個關鍵趨勢也強調了安全主管需要對此進行更深入地了解并更積極主動面對這個問題。

1. 積極主動的安全文化

Endera的報告顯示，88%的受訪者認為，企業(yè)可以通過有效的政策執(zhí)行和員工援助計劃，主動防止問題發(fā)生，以留住人才，并營造一個積極、安全的工作環(huán)境。相反，在有關員工安全的事件發(fā)生后，近40%的受訪者表示，員工對公司保障他們安全的能力失去了信心。

2. 供應鏈風險

在所有接受調查的安全管理人員中，有87%的人員表示，獨立供應商/自由職業(yè)者最有可能造成員工相關的安全事件，例如欺詐和盜竊設備。同時64%的人表示，供應鏈/第三方供應商最有可能帶來這些風險。報告還發(fā)現(xiàn)，71%的供應商與客戶有過面對面溝通，包括那些依賴企業(yè)擴展來提供日常服務的供應商，如兒童看護、交通、醫(yī)療保健等。

3. 從更廣闊、更全面的角度來看待威脅

有86%的受訪者表示，設備盜竊或丟失是三大風險之最，其次是欺詐(80%)和網(wǎng)絡安全威脅(74%)。十分之三(31%)的受訪者表示，在過去12個月里，網(wǎng)絡安全事件 (包括IP盜竊和數(shù)據(jù)丟失) 是他們所在組織機構面臨的代價最高的內(nèi)部或外部安全威脅。雖然關注網(wǎng)絡威脅很重要，但安全主管也需要考慮職工帶來的風險。

4. 員工風險帶來的負面業(yè)務影響

絕大多數(shù)(98%)的安全主管報告，由于員工相關事件，他們的組織機構遭受了負面影響。例如，調查發(fā)現(xiàn)：

• 63%的受訪者表示，他們經(jīng)歷過經(jīng)濟損失和敏感數(shù)據(jù)丟失。
• 60%的受訪者表示，客戶對公司的信任度下降，公司聲譽受損。
• 59%的人表示，員工對企業(yè)保護員工安全的能力的信心下降，員工因此離開公司。

5. 入職前和入職后的員工調查

雖然在受訪的組織機構中，有四分之三的組織機構表示在44%的情況下進行了入職前員工調查，但企業(yè)表示，在發(fā)生事故前沒有發(fā)現(xiàn)潛在的員工或人事問題。略低于一半(48%)的受訪者表示，會定期進行員工調查。那些通過防數(shù)據(jù)丟失工具使用內(nèi)部數(shù)據(jù)，進行用戶活動監(jiān)測、通信監(jiān)控，或鍵盤記錄軟件評估員工風險的組織機構中，十個中有四個受訪者報告說，有時候不能快速獲取相關信息。并且34%的受訪者表示信息并不是最新的，而且不能覆蓋所有數(shù)據(jù)，如正在進行的公共刑事或民事調查和處罰，或降低風險所需的許可證要求。大多數(shù)受訪者表示，已經(jīng)實施的員工調查，如背景調查或正在進行評估的頻率較低，只有11%的受訪者表示每月會進行一次調查，只有2%的受訪者表示，他們的組織機構每天都會更新個人的外部背景調查結果。

通過了解所有風險因素，擁有能夠主動評估、診斷和減輕員工帶來的風險的能力是至關重要的。安全團隊必須從被動式轉向主動的風險管理方法，全面了解網(wǎng)絡安全，合規(guī)性，技術和人力資源，才能真正解決由員工帶來的風險對業(yè)務的影響。

【本文是51CTO專欄作者“李少鵬”的原創(chuàng)文章，轉載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權】

戳這里，看該作者更多好文