有效的内部威胁防御始于候选人审查。
背景调查和推荐电话可以确认申请人历史的要素,但它们很少浮出水面,这些风险可能会变成代价高昂的问题。身份验证、凭证验证和数字风险评估需要分层到招聘流程中。
重复使用或篡发的照片、最低限度的在线存在或新创建的社交媒体帐户等指标可以表明候选人可能不是他们看起来的那样。同样,提供假推荐信、使用可疑电子邮件地址(来自不常见域名的电子邮件地址,包括大量字母或数字,或最近注册的电子邮件地址)或避免在面试中出现在视频中,可能试图掩盖其身份。
独立验证资格并比较候选人库的推荐信有助于揭示传统人力资源流程可能错过的模式。目标不是制造不信任的气氛,而是建立一个一致、透明的框架,让候选人知道审查是严格和相称的。
这是关于假设信任,知道如何发现就业欺诈和内部威胁风险,以保证您的员工和组织安全。结合人力资源部门对文化契合的理解和对候选人意图的情境洞察力,这种方法可以帮助组织在欺诈成为安全责任之前将其过滤掉。
超越防火墙
在审查了就业风险后,建立值得信赖的员工队伍的公司应该继续寻找新的和有意义的信号,以保持其团队的诚信。
当今的欺诈者和恶意内部人士经常将数字面包屑放在传统组织的直接可见范围之外。招聘团队不能自己连接这些面包屑,他们应该与安全团队合作,作为整体候选人评估的一部分,暴露隐藏的隶属关系、过去的欺诈活动或有关行为模式。
例如,恶意员工的外部数字足迹可能会揭示不寻常的网络连接、参与对抗性在线社区或暗示忠诚度分裂的“多工作”模式。员工的简历可能看起来很棒,但对在线活动的审查可能会引发有关参与黑客团体或已知仇恨团体的红旗,例如。
此外,在入职期间交叉检查IP活动或设备历史可以验证远程员工是否是他们声称的人,以及公司发行的资产是否被发送到合法地址。例如,我们不需要看更多关于朝鲜IT工作者为了被美国公司雇用而建立假角色的故事。
在面对面验证有限的远程或混合工作环境中,防火墙外检查尤为重要。实际的收获是,公司需要扩大他们的知名度:你越是将传统的人力资源流程与外部数字风险信号相结合,并在内部团队之间进行协作,欺诈性候选人就越难在未被发现的情况下在公司内工作。
识别行为指标
即使采用严格的招聘做法,内部风险也不是固定的。人们的动机和环境可能会发生变化,有时对潜在的红旗有良性的解释。尽管如此,即使在候选人被录用后,组织也必须保持警惕,以确保没有行为转变表明风险上升。
红旗不仅仅是表明内部威胁风险,它们通常会提供外部指示,说明可能需要帮助的员工,或者他们可能是外部影响或控制的目标。但是,重要的是要记住,一个红旗不足以给某人贴上内部风险的标签——是几个红旗的积累指向一个实际问题。
团队应该定期关注的危险信号包括:
- 工作時間的不明原因變化,特別是深夜或週末活動的增加。
- 经常违反政策或不遵守强制性培训,表明无视公司协议。
- 增加对求职网站的访问或向竞争对手发送电子邮件,这可能表明脱离接触或准备离开。
- 与竞争对手或承包商的隐藏关系暗示了潜在的利益冲突。
- 有争议的社交媒体活动或对管理层的频繁投诉,可能表明不满升级为破坏性行为。
这些信号本身并不能证实恶意。但是,当它们显示出与员工正常模式的偏差时,它们是预警,表明有必要进行干预或至少进行更密切的监测。
寻找技术上的危险信号
行为指标只是等式的一部分。技术和组织标志还为安全团队提供了提示,要求他们更深入地研究个人。过大的下载、使用未经授权的设备、尝试日志或禁用安全功能都表明了故意规避控制。同样,访问角色之外的系统或向个人帐户发送敏感文件是潜在泄露的直接迹象。
处于压力或面临工作不安全的员工可能会因疏忽或恶意而更容易出现不当行为。绩效评估下降、面临纪律处分或对安全升级提出阻力的人值得仔细审查。发出辞职通知的员工应密切关注未经授权的活动。
如前所述,关键不是孤立地处理这些事件。一次糟糕的审查可能不是安全问题,但结合貶低性帖子、异常的系统访问和深夜数据传输,它可以提供内部风险正在升级的强烈信号。如果你等到风险变成现实,往往为时已晚。
考虑欺诈的可能性
就业欺诈增加了另一层复杂性。欺诈候选人可能会以虚假借口,使用伪造的证书或虚假陈述的身份进入。一旦进入,他们就可以利用对敏感数据的访问,外包他们的工作,或违反政策处理多个工作。
欺诈候选人/员工的警告信号包括:
- 与面试声明相比,表现不一致。
- 避免在远程设置中播放视频。
- 新的或看起来人工的在线个人资料。
- 在简历或领英帐户中重复使用的库存图片。
- 未经授权使用远程访问软件。
这些模式越来越普遍,需要人力资源、安全和法律部门合作进行调查。加强申请人筛选、多重推荐人检查和安全入职实践——如强大的虚拟身份验证——是必不可少的保障措施。
融入员工生命周期
内部威胁的定义正在发生变化。曾经的重点是意外配置错误或疏忽,如今它越来越多地包括恶意行为、欺诈和混合案件,这些案件的不满或个人压力会驱动风险行为。
识别有风险的候选人不再只是防止一次性欺诈,而是在整个员工生命周期中持续评估人为风险。
生命周期方法结合了三个原则:
- 在招聘时进行主动审查。不要让欺诈候选人进门。
- 持续监控行为、技术和组织指标。在升级之前发现更改。
- 人力资源、法律和安全之间的合作。确保分享见解,然后迅速采取行动。
组织在面对和防止内部威胁方面需要创新。通过深入检查背景调查,扩大防火墙外的可见性,并识别行为、技术和组织信号之间的相互作用,组织可以建立一个有效的“预警系统”,并建立一支强大的可信员工队伍。
消息来源:helpnetsecurity, 翻译整理:安全114;
转摘注明出处 :www.anquan114.com
暂无评论内容