ความเสี่ยงที่สำคัญต่อธุรกิจคือความเสี่ยงที่พวกเขามักมองข้าม นั่นคือ พนักงานที่หลอกลวง หรือที่เรียกว่า “ภัยคุกคามจากวงใน”ไม่มีใครปลอดภัยจากการแพร่ระบาดของการละเมิดข้อมูล (อินโฟกราฟิก)ในขณะที่หลายบริษัทกำลังทุ่มเททรัพยากรมากขึ้นในการป้องกันแฮ็กเกอร์จากการขโมยข้อมูลที่ละเอียดอ่อน พนักงานที่หลอกลวงอาจก่อให้เกิดความเสี่ยงที่ร้ายแรงกว่ามาก เนื่องจากพวกเขาสามารถเข้าถึง
ความลับของบริษัท ลูกค้า และเทคโนโลยี และมักไม่ได้รับ
การตรวจสอบอย่างเพียงพอ จากข้อมูลของ Ponemon Institute ค่าใช้จ่ายของเหตุการณ์ที่เกี่ยวข้องกับคนวงในนั้นสูงกว่าการละเมิดข้อมูลที่เกิดจากแฮ็กเกอร์ภายนอก – 4.3 ล้านดอลลาร์ต่อเหตุการณ์ เทียบกับ3.62 ล้านดอลลาร์ตามลำดับ และค่าใช้จ่ายเหล่านี้อาจเกิน8 ล้านดอลลาร์ในช่วง 12 เดือน .
ภัยคุกคามจากวงในก็เพิ่มขึ้นเช่นกัน รายงานปี 2018 โดย Ponemon Instituteพบว่าเหตุการณ์ภายในที่เป็นอันตรายเพิ่มขึ้น 56 เปอร์เซ็นต์ตั้งแต่ปี 2016
การสแกนข่าวอย่างรวดเร็วในแต่ละสัปดาห์จะแสดงให้เห็นว่ากรณีเหล่านี้แพร่หลายเพียงใด ตัวอย่างเช่น ในกรณีล่าสุดที่Facebook วิศวกรรักษาความปลอดภัยคนหนึ่งถูกกล่าวหาว่าใช้สิทธิพิเศษของเขาในทางที่ผิดเพื่อสะกดรอยตามผู้หญิงทางออนไลน์ ในเดือนมกราคมบริษัทจีนแห่งหนึ่งถูกตัดสินว่ามีความผิดฐานใช้พนักงานของ AMSC เพื่อขโมยทรัพย์สินทางปัญญามูลค่า 800 ล้านดอลลาร์จากบริษัทดังกล่าว ในเดือนเมษายน อดีตพนักงานต้อนรับสำนักงานทันตกรรมในแมนฮัตตันถูกตัดสินว่ามีความผิดฐานขโมยข้อมูลประจำตัวของผู้ป่วยกว่า 650 ราย และรายการดำเนินต่อไป
ที่เกี่ยวข้อง: รหัสผ่านไม่ปลอดภัยอย่างน่ากลัว นี่เป็นทางเลือกที่ปลอดภัยกว่าเล็กน้อย
แม้จะมีความเสี่ยง แต่หลายบริษัทก็ยังไม่พร้อม เกือบหนึ่งในสามของบริษัทยอมรับว่าพวกเขาไม่มีความสามารถในการป้องกันหรือสกัดกั้นการโจมตีจากคนวงใน และมีเพียง 9 เปอร์เซ็นต์เท่านั้นที่คิดว่ามาตรการป้องกันคน วงในของพวกเขามีประสิทธิภาพ จากการศึกษาในปี 2558 ของสถาบันSANS
การป้องกันการละเมิดประเภทนี้ไม่ใช่เรื่องง่าย แต่สามารถทำได้
ต่อไปนี้เป็นสี่วิธีในการจัดการความเสี่ยงที่เกิดจากบุคคลภายในที่เชื่อถือได้
การควบคุมการเข้าถึง
กุญแจสำคัญในการลดความเสี่ยงของบริษัทต่อภัยคุกคามจากภายในคือการสร้าง “การควบคุมการเข้าถึง” ที่รัดกุม ซึ่งจะป้องกันไม่ให้พนักงานคนเดียวเข้าถึงข้อมูลได้มากน้อยเพียงใดตั้งแต่แรก
ไม่มีพนักงานคนใดคนเดียวที่ไม่ควรเข้าถึงความลับทั้งหมด
ของบริษัทโดยปราศจากการผูกมัด แต่ควรแยกข้อมูลที่ละเอียดอ่อนออก และการเข้าถึงของพนักงานควรได้รับการพิจารณาเป็นกรณีไป โดยพิจารณาจากความต้องการของพนักงานในการเข้าถึงข้อมูลดังกล่าวเพื่อให้บรรลุผลสำเร็จ หน้าที่. ตัวอย่างเช่น ผู้จัดการฝ่ายขายไม่จำเป็นต้องเข้าถึงทรัพย์สินทางปัญญาของบริษัท และผู้ดูแลระบบไอทีไม่จำเป็นต้องเข้าถึงรายชื่อลูกค้าของบริษัท บทบาทที่แยกจากกันภายในบริษัทควรแยกตามระดับการเข้าถึงข้อมูลที่พวกเขามี
ที่เกี่ยวข้อง: การทำให้ข้อมูลของคุณไม่สามารถอ่านได้ต่อใครก็ตามที่ขโมยไป อาจเป็นวิธีเดียวที่จะรักษาข้อมูลให้ปลอดภัย
การควบคุมทางเทคนิค
นอกเหนือจากการกำหนดนโยบายควบคุมการเข้าถึงข้อมูลแล้ว บริษัทควรมีการควบคุมทางเทคนิคที่เข้มงวดเพื่อป้องกันการเข้าถึงมากเกินไปหรือการใช้ในทางที่ผิดโดยบุคคลภายใน
การควบคุมเหล่านี้ควรรวมถึง: การเข้ารหัสข้อมูลที่มีความละเอียดอ่อนสูง เพื่อให้เฉพาะบุคคลที่เจาะจงเท่านั้นที่สามารถเข้าถึงได้ การบล็อกหรือจำกัดเครื่องมือและเว็บไซต์บางประเภทจากอุปกรณ์ของพนักงาน เช่น Tor บริการโปรโตคอลการถ่ายโอนไฟล์ (FTP) เป็นต้น จำกัดการใช้การเข้าสู่ระบบระยะไกลไปยังเครือข่ายของบริษัท รีเซ็ตรหัสผ่านทันทีสำหรับพนักงานที่ถูกเลิกจ้าง และกำหนดให้รีเซ็ตรหัสผ่านเป็นประจำสำหรับบัญชีพนักงานทั้งหมด เพื่อลดโอกาสในการเรียนรู้หรือแบ่งปันรหัสผ่าน
การจัดการอุปกรณ์เคลื่อนที่
นี่เป็นอีกก้าวที่สำคัญ โดยเฉพาะอย่างยิ่งในโลกธุรกิจที่มีอุปกรณ์เคลื่อนที่สูงและการนำอุปกรณ์มาเองในปัจจุบัน บริการการจัดการอุปกรณ์เคลื่อนที่ (MDM) ช่วยให้บริษัทสามารถตรวจสอบเนื้อหาบนอุปกรณ์ของบริษัทและอุปกรณ์ส่วนตัว รวมทั้งบรรจุข้อมูลของบริษัทและอนุญาตให้ลบข้อมูลระยะไกลได้หากจำเป็น
Credit : สล็อตออนไลน์ / สล็อตยูฟ่าเว็บตรง
