應對內(nèi)部溝通(tōng)的安全威脅，公司能做(zuò)什麽？

內(nèi)部通(tōng)訊工具的普及使用極大(dà)地改變了組織內(nèi)部的溝通(tōng)，再加上(shàng)大(dà)規模裁員，內(nèi)部威脅的風險更高(gāo)。哪些(xiē)部門(mén)是最有(yǒu)針對性的，是什麽使它們更加脆弱？

談到內(nèi)部威脅，最脆弱的部門(mén)包括更廣泛的金融服務業（銀行(xíng)、财富、保險等）、醫(yī)療保健、政府和(hé)科技(jì)/制(zhì)造業。從本質上(shàng)講，任何處理(lǐ)跨受監管個(gè)人(rén)信息（如PII、PCI和(hé)PHI）的敏感信息的部門(mén)，以及通(tōng)過重大(dà)非公開(kāi)信息（MNPI）、商業秘密和(hé)密碼等危及安全的數(shù)據的部門(mén)都處于高(gāo)風險之中。

随着現代通(tōng)信工具中這種材料的易于溝通(tōng)、共享甚至創建，人(rén)們更容易通(tōng)過事故或意圖過度傳遞可(kě)能造成風險和(hé)傷害的信息。想象一下Slack或Teams聊天頻道(dào)中作(zuò)為(wèi)文件或鏈接共享的客戶列表，或者Zoom或Webex會(huì)議中通(tōng)過屏幕共享共享的設計(jì)文檔，或者聊天中輸入的信用卡或密碼，或者電(diàn)話(huà)中記錄的密碼。

然後，想想錯誤的人(rén)下載或截屏這些(xiē)信息、存儲他們可(kě)能不應該存儲的錄音(yīn)、無意中暴露或不當使用這些(xiē)信息是多(duō)麽容易。然後，認識到大(dà)多(duō)數(shù)公司今天所依賴的昨天的安全和(hé)合規護欄，主要關注電(diàn)子郵件、通(tōng)過網絡或訪問雲應用程序或設備的流量，而不是直接與Zoom、Webex、Slack、RingCentral集成，Microsoft團隊和(hé)更多(duō)團隊緻力于解決集成視(shì)頻、語音(yīn)和(hé)聊天工具中通(tōng)信中每天發生(shēng)的信息共享和(hé)通(tōng)信行(xíng)為(wèi)風險中的人(rén)機交互因素。

內(nèi)部通(tōng)信如何具體(tǐ)地對組織構成威脅？

與上(shàng)述相關，通(tōng)信工具本身通(tōng)常是安全的，不會(huì)構成威脅，并且是解鎖更好的協作(zuò)和(hé)節省成本效率的主要工具。正是人(rén)為(wèi)因素帶來(lái)了真正的風險，因為(wèi)越來(lái)越多(duō)地使用聊天、語音(yīn)和(hé)視(shì)頻協作(zuò)技(jì)術(shù)，人(rén)類可(kě)能會(huì)犯錯誤或行(xíng)為(wèi)不端。它暴露出，對于用戶在協作(zuò)工具內(nèi)的通(tōng)信中造成的各種行(xíng)為(wèi)和(hé)信息安全風險，組織對補充政策、程序和(hé)護欄技(jì)術(shù)缺乏準備。

設計(jì)用于電(diàn)子郵件、網絡、雲或設備安全的工具與當今通(tōng)信産生(shēng)情況和(hé)信息共享情況的場(chǎng)景不匹配，正是新的、不斷擴大(dà)的風險面出現的使用場(chǎng)景。

為(wèi)了降低(dī)通(tōng)信相關數(shù)據洩露的風險，公司必須學習哪些(xiē)策略？

為(wèi)了降低(dī)新的數(shù)字化工作(zuò)場(chǎng)所的風險，公司必須首先圍繞這些(xiē)新的溝通(tōng)工具中的“做(zuò)”和(hé)“不做(zuò)”制(zhì)定完善的政策和(hé)培訓。這應該伴随着定期的政策審計(jì)和(hé)抽查以及實際的政策執行(xíng)。然後，公司必須轉向實現專門(mén)構建的技(jì)術(shù)，使其能夠檢測風險，并在其新通(tōng)信工具內(nèi)的通(tōng)信中對該風險采取行(xíng)動。這些(xiē)安全工具應該經過思科、微軟、RingCentral、Slack和(hé)Zoom等通(tōng)信平台的審查和(hé)認證。

通(tōng)過調整安全和(hé)法規遵從性做(zuò)法，并使用通(tōng)信工具提供商信任和(hé)認證的支持技(jì)術(shù)，客戶可(kě)以設置護欄，以最佳方式保護其員工、客戶和(hé)數(shù)據免受濫用和(hé)誤用。随着信息日益共享，我們的工作(zuò)場(chǎng)所互動在協作(zuò)內(nèi)部和(hé)過程中進行(xíng)，優化和(hé)确保法規遵從性和(hé)安全标準是必要的。

企業如何提高(gāo)員工的安全意識？

為(wèi)了提高(gāo)員工的安全意識，在實施專門(mén)為(wèi)集成語音(yīn)、視(shì)頻、消息和(hé)聊天工具而構建的安全和(hé)法規遵從性技(jì)術(shù)時(shí)，應明(míng)确發布有(yǒu)關适當程序的政策和(hé)實際培訓。與公司将技(jì)術(shù)用于電(diàn)子郵件安全、網絡安全、雲應用程序安全和(hé)端點安全的方式相同，也有(yǒu)一些(xiē)技(jì)術(shù)可(kě)以幫助管理(lǐ)監控、自動化風險檢測，并在聊天、語音(yīn)、視(shì)頻和(hé)視(shì)頻中指導員工，以及視(shì)頻通(tōng)信，同時(shí)監控并強制(zhì)用戶在平台上(shàng)啓用适當的安全設置……後者是用戶無意中禁用Zoom等公司在其産品中提供的非常強大(dà)的安全功能的常見場(chǎng)所。

第二，技(jì)術(shù)可(kě)以而且應該是透明(míng)的，能夠提醒員工它正在監控以維護安全的數(shù)字工作(zuò)場(chǎng)所。應将其視(shì)為(wèi)可(kě)視(shì)護欄、警示燈和(hé)安全系統，根據風險在需要時(shí)激活。例如，技(jì)術(shù)可(kě)以删除聊天中的客戶信息文件或鏈接，并将其替換為(wèi)一條消息，指出該文件由于保護敏感數(shù)據的要求而被阻止。另一個(gè)例子是，技(jì)術(shù)可(kě)以通(tōng)知員工，出于合規目的正在錄制(zhì)視(shì)頻會(huì)議，在會(huì)議中，可(kě)以通(tōng)知用戶他們應該避免的風險行(xíng)為(wèi)。在這些(xiē)場(chǎng)景中，安全和(hé)合規團隊隻會(huì)收到風險通(tōng)知，而不會(huì)收到不相關、浪費時(shí)間(jiān)的非風險通(tōng)知。

最後，随着合規和(hé)安全團隊對引發風險的會(huì)議、聊天和(hé)對話(huà)進行(xíng)取證審查，可(kě)以使用技(jì)術(shù)解決風險并通(tōng)知員工。這些(xiē)類型的可(kě)視(shì)護欄和(hé)警示燈可(kě)以顯著降低(dī)最常見的風險，并通(tōng)過減少(shǎo)信号噪聲，更容易關注更棘手的風險。

公司組織如何防止不滿或辭職員工造成的安全威脅？

除了盡最大(dà)努力公平對待員工，并設置基本的不滿抑制(zhì)措施外，處理(lǐ)邊緣不滿員工的最佳方法是讓違規行(xíng)為(wèi)的規則和(hé)後果廣為(wèi)人(rén)知，同時(shí)也讓大(dà)家(jiā)知道(dào)，有(yǒu)一種先進的技(jì)術(shù)可(kě)以并将檢測到這些(xiē)違規行(xíng)為(wèi)。

通(tōng)過明(míng)确所有(yǒu)溝通(tōng)準則、信息共享方式以及信息和(hé)溝通(tōng)的存儲方式，雇主可(kě)以從一開(kāi)始就降低(dī)風險。也就是說，法規遵從性和(hé)安全性工具可(kě)以實現風險檢測，同時(shí)在每次協作(zuò)、交互和(hé)對話(huà)中精确定位法規遵從性問題的确切時(shí)刻或實例，無論是視(shì)頻、語音(yīn)、聊天還(hái)是其中共享的文件。這些(xiē)規則和(hé)含義可(kě)以在最初的雇傭協議以及員工作(zuò)為(wèi)入職的一部分簽署的典型隐私和(hé)行(xíng)為(wèi)規則中進行(xíng)概述和(hé)闡述。