dcsimg

鼓励自我报告,最大限度地减少影子IT损坏

许多员工在使用公司数据策略时忙得不可开交。当影子IT破坏数据时,您将如何知道?

正如员工以 将公司设备用于个人目的,无论有无BYOD / BYOC政策,员工都可以通过电子邮件将公司数据发送到其个人帐户,并将数据存储在其个人设备或个人SaaS帐户中。这些越来越普遍的作法已被黑暗而险恶的绰号所熟知: 影子IT .

影子IT的采用 将在您的组织中发生并且可能已经发生。

因此,想象一下您的影子影子IT犯罪者。它可以是低级员工,高级主管或两者之间的任何人。该员工是一名好员工,除了以下事实:他通过将公司数据保留在未经批准的个人设备或SaaS帐户上,公然违反了您的数据管理政策。

然后,员工丢失了未批准的设备。否则他们的个人密码就会被泄露。

怎么办?

清理影子IT惊喜

在这个束缚中许多员工的诱惑–特别是如果它们在公司阶梯上足够低–永远不要说一句话,以免他们陷入大麻烦并可能失业。这也使组织陷入困境,因为尽管它首先希望确保员工不会将其数据置于危险之中,但它对知道何时将数据置于危险之中具有更大的兴趣。

那么,您如何鼓励因违反公司政策而对数据泄露做出贡献的员工挺身而出呢?您如何让员工自我报告?

甲骨文公司人力资本管理转型与思想领导副总裁贝特兰·杜斯特(Bertrand Dussert)在波士顿甲骨文公司CloudWorld的一次新闻发布和分析师圆桌讨论中回答说:“这始于意识。”

特别是,这种意识不仅是实用性,而且还包括公司政策,这意味着对于这种情况要有公司政策和文件化的流程。

杜斯特(Dursert)说:“如果发生这些事情,它们就会发生,这就是您采取的步骤。” Dussert解释说,针对这种情况的过程化文档的存在会鼓励员工进行自我报告,因为员工会认为,如果该过程存在,“此事以前曾发生在其他人身上”–因此前进和跟随该过程并不等于自动触发。

当然,该过程和该政策必须具有一定意义。

K合伙人肖恩·马奥尼(Sean Mahoney)表示:“唯一有比没有政策更糟糕的是没有遵循的伟大政策。”&L盖茨在最近的会议上告诉与会者 NRS技术与通信合规论坛.

当然,这同样适用于所要解决的问题:减轻不遵守政策对员工的损害。因此,Mahoney解释说,在设计BYOD(或anti-BYOD)或类似技术使用政策时,您必须考虑如何减轻违规造成的损害。根据Mahoney的说法,实现这一目标的第一步是对您的员工想要什么以及他们倾向于做什么做一番尝试。 影子IT 通常可以阐明组织内的实际需求。

“当我的女儿五六岁时,她决定要一只猫,”马奥尼说道。 “猫会告诉你它的垃圾箱要去哪里。”

确实,Mahoney和Dussert都观察到,安全性和合规性在让Joe Everyman尽力完成工作方面处于倒退。

Dussert建议:“ [您的员工设备政策]意味着我的生产力较低,您将失去高管的支​​持。”

Mahoney强调说:“您的商人,例如,他们拥有最新的东西,如平板手机或iPad或类似的东西,他们就会使用它,而您对此却没有太多的控制权。”减轻损害的重要性高于其他一切。 “对警察来说,最难的事情之一是将事情存储在[个人]硬盘[等等]上的人;他们有iPad,并且会使用它们,而你无法阻止它们[。]”

“我感谢我的女儿和那只猫的教训,”马奥尼补充说。

通过胡萝卜和棍子进行影子IT损坏控制

尽管如此,对于那些不遵守规则的人来说,还是必须加强一些政策,并产生一些后果。那么这些利益冲突如何平衡?

波士顿联邦储备银行助理副行长兼信息安全官迈克尔·斯图尔特(Michael Stewart)在接受《纽约时报》采访时说:“我比使用棒子更喜欢使用胡萝卜。” 企业网络星球。 “棍子确实是不得已的手段。”

那么什么时候使用“棍子”呢?应该如何确定惩罚? Stewart解释说,在影子IT方面,因素有两个:员工的意图和员工的角色。

关于第一个,斯图尔特建议寻找改变行为的模式–即,“如果约翰·史密斯(John Smith)做到了,而他再也没有做到[。]”

关于第二个方面,斯图尔特指出,例如,面向客户部门的行政助理与应该更了解的IT工作者之间存在很大差异。

“你必须考虑人的角色,”斯图尔特建议。 “如果有人在我的(信息安全部门)工作人员中,他们将不再是我的人员。”

斯图尔特在接受采访时强调,美联储具有“相当成熟的风险意识文化,这是因为我们的工作[;]我们鼓励人们进行自我报告。”

除了这些考虑因素之外,还可能要考虑第三点:影子IT破坏的数据范围。

Mahoney告诉听众说:“除非您知道哪些数据受到影响,否则您无法回答任何这些问题。”

因此,所有这些问题都不再是人力资源问题,而是更多的IT问题,以及个人部门的问题。

斯图尔特打趣道:“我不是美联储的惩罚性部门。”他指出,如果因违反政策而自行报告数据时,他和他的部门将根据上述因素提出适当的建议。–最终,由受影响的部门/利益相关者来决定什么是处理个案的最佳方法。没有一种万能的解决方案。

无论如何,专家们都认为,在惩罚方面,非严酷的文化仍然是最佳的。

剑桥信息安全初创公司Cyber​​eason的首席技术官兼联合创始人Yonatan Striem-Amit告诉记者:“人们会犯错误,并违反公司政策。” 企业网络星球 当被问到这个问题时。 “您确实需要[确保]清洁(是)最好的保险单。”

乔·斯坦加内利  是作家,律师和传播顾问。他还是波士顿笔架山法律的负责人和创始律师。在Twitter上关注他  @JoeStanganelli .

本文最初于2015年2月10日发布
通过网络更新新闻获取最新消息