尽管旨在令公司运营以人为本,但人力资源(HR)部门也存在短板:他们往往无法与决定业务运营和网络风险防护方式的IT部门及核心技术系统密切协同。
HR与IT流程之间不甚协调的现象仍旧十分普遍,可导致公司攻击面上出现最为危险的安全漏洞。我们不妨仔细考察其间难点所在,找出关键网络资产管理重点,从而弥合HR与IT之间的割裂,打造更加稳健的网络安全态势。
提升HR在确保企业安全中的作用
HR在企业安全工作中只负责教导员工保护好公司设备密码的日子已经一去不复返了。当今威胁环境与劳动力息息相关,从自带设备办公(BYOD)和身份验证缺陷,到用户身上令鱼叉式网络钓鱼看起来如此诱人的种种漏洞,无不昭示着员工本身就是网络攻击康庄大道这一事实。传统社会工程攻击如今还有零点击漏洞利用的加持,能够在无需用户点击链接或根本不用执行任何操作的情况下黑掉员工设备。
除了恶意威胁,甚至是常规HR流程都可能给公司引入风险,如果公司里HR和IT流程不够协调的话。举个例子,员工离职流程远不止离职面谈,还包括撤销对多个企业系统、账户和设备的访问权限,所有这些都需要HR和IT人员与系统的紧密配合。
想要更好地维护企业网络安全,让HR和IT部门有志一同地加深对网络安全与风险缓解的正确理解就十分关键了。而这有赖于提高认知,了解HR流程对企业其他部门网络资产的影响,以及HR在员工和承包商权限管理中的职能。这就要求资产可见性必须是持续而实时的,因为我们的职位、设备和数据及系统的访问权限,在我们的工作过程中可能会发生多次变动。
加强HR与IT间网络资产可见性和协同的三个重点
HR运营中涉及的诸多集成点和业务系统如果缺乏IT协同,会给公司带来风险。我们必须提高业务流程的可见性和协同性,令HR运营与整个公司的IT资产保持一致。为此,需要重视以下三个方面:
提高HR人员的数据智商:特定领域业务分析师的数据素养非常重要,HR人员需要深刻理解这一点。越能理解自身工作在技术方面的影响,HR人员就越能在执行人员管理流程和策略时帮助保护IT资产。
将HR全面集成到IT资产中:HR部门和IT部门安全的统一重度依赖其各自业务流程的协同。理想状况下,这种集成应该囊括在网络资产管理领域中预定义特定于HR的合规框架,且此类框架要适用于所有现有及未来的网络资产。同时,HR还应与IT部门明确协调员工的系统、文件、数据访问权限问题。
自动化是基础:HR想扩展自己在公司里的数字触角延伸范围,就免不了要依靠自动化。就以员工离职为例,尤其是在当前“大辞职”浪潮下,离职员工产生的多份IT工单可能会堆积起来,造成积压,令公司面临不必要的风险,除非引入自动化来更加快速地处理这些HR相关流程。
上述重点凸显了网络资产管理在HR和IT运营间的关键作用。遵循通用数据标准,规范云标记模式,以及实现其他网络资产管理基本措施,能够弥合和扩展HR与IT团队的能力,让二者无缝协同工作。而HR和IT充分协同的结果,就是更好的可见性与控制力,能够明确HR与IT运营在何处以怎样的方式相互影响,从而提高企业的整体安全状况。
声明:本文来自数世咨询,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。