应对内部沟通的安(ān)全威胁，公(gōng)司能(néng)做什么？

内部通讯工(gōng)具(jù)的普及使用(yòng)极大地改变了组织内部的沟通，再加上大规模裁员，内部威胁的风险更高。哪些部门是最有(yǒu)针对性的，是什么使它们更加脆弱？

谈到内部威胁，最脆弱的部门包括更广泛的金融服務(wù)业（银行、财富、保险等）、医(yī)疗保健、政府和科(kē)技(jì )/制造业。从本质(zhì)上讲，任何处理(lǐ)跨受监管个人信息（如PII、PCI和PHI）的敏感信息的部门，以及通过重大非公(gōng)开信息（MNPI）、商(shāng)业秘密和密码等危及安(ān)全的数据的部门都处于高风险之中(zhōng)。

随着现代通信工(gōng)具(jù)中(zhōng)这种材料的易于沟通、共享甚至创建，人们更容易通过事故或意图过度传递可(kě)能(néng)造成风险和伤害的信息。想象一下Slack或Teams聊天频道中(zhōng)作(zuò)為(wèi)文(wén)件或链接共享的客户列表，或者Zoom或Webex会议中(zhōng)通过屏幕共享共享的设计文(wén)档，或者聊天中(zhōng)输入的信用(yòng)卡或密码，或者電(diàn)话中(zhōng)记录的密码。

然后，想想错误的人下载或截屏这些信息、存储他(tā)们可(kě)能(néng)不应该存储的录音、无意中(zhōng)暴露或不当使用(yòng)这些信息是多(duō)么容易。然后，认识到大多(duō)数公(gōng)司今天所依赖的昨天的安(ān)全和合规护栏，主要关注電(diàn)子邮件、通过网络或访问云应用(yòng)程序或设备的流量，而不是直接与Zoom、Webex、Slack、RingCentral集成，Microsoft团队和更多(duō)团队致力于解决集成视频、语音和聊天工(gōng)具(jù)中(zhōng)通信中(zhōng)每天发生的信息共享和通信行為(wèi)风险中(zhōng)的人机交互因素。

内部通信如何具(jù)體(tǐ)地对组织构成威胁？

与上述相关，通信工(gōng)具(jù)本身通常是安(ān)全的，不会构成威胁，并且是解锁更好的协作(zuò)和节省成本效率的主要工(gōng)具(jù)。正是人為(wèi)因素带来了真正的风险，因為(wèi)越来越多(duō)地使用(yòng)聊天、语音和视频协作(zuò)技(jì )术，人类可(kě)能(néng)会犯错误或行為(wèi)不端。它暴露出，对于用(yòng)户在协作(zuò)工(gōng)具(jù)内的通信中(zhōng)造成的各种行為(wèi)和信息安(ān)全风险，组织对补充政策、程序和护栏技(jì )术缺乏准备。

设计用(yòng)于電(diàn)子邮件、网络、云或设备安(ān)全的工(gōng)具(jù)与当今通信产(chǎn)生情况和信息共享情况的场景不匹配，正是新(xīn)的、不断扩大的风险面出现的使用(yòng)场景。

為(wèi)了降低通信相关数据泄露的风险，公(gōng)司必须學(xué)习哪些策略？

為(wèi)了降低新(xīn)的数字化工(gōng)作(zuò)场所的风险，公(gōng)司必须首先围绕这些新(xīn)的沟通工(gōng)具(jù)中(zhōng)的“做”和“不做”制定完善的政策和培训。这应该伴随着定期的政策审计和抽查以及实际的政策执行。然后，公(gōng)司必须转向实现专门构建的技(jì )术，使其能(néng)够检测风险，并在其新(xīn)通信工(gōng)具(jù)内的通信中(zhōng)对该风险采取行动。这些安(ān)全工(gōng)具(jù)应该经过思科(kē)、微软、RingCentral、Slack和Zoom等通信平台的审查和认证。

通过调整安(ān)全和法规遵从性做法，并使用(yòng)通信工(gōng)具(jù)提供商(shāng)信任和认证的支持技(jì )术，客户可(kě)以设置护栏，以最佳方式保护其员工(gōng)、客户和数据免受滥用(yòng)和误用(yòng)。随着信息日益共享，我们的工(gōng)作(zuò)场所互动在协作(zuò)内部和过程中(zhōng)进行，优化和确保法规遵从性和安(ān)全标准是必要的。

企业如何提高员工(gōng)的安(ān)全意识？

為(wèi)了提高员工(gōng)的安(ān)全意识，在实施专门為(wèi)集成语音、视频、消息和聊天工(gōng)具(jù)而构建的安(ān)全和法规遵从性技(jì )术时，应明确发布有(yǒu)关适当程序的政策和实际培训。与公(gōng)司将技(jì )术用(yòng)于電(diàn)子邮件安(ān)全、网络安(ān)全、云应用(yòng)程序安(ān)全和端点安(ān)全的方式相同，也有(yǒu)一些技(jì )术可(kě)以帮助管理(lǐ)监控、自动化风险检测，并在聊天、语音、视频和视频中(zhōng)指导员工(gōng)，以及视频通信，同时监控并强制用(yòng)户在平台上启用(yòng)适当的安(ān)全设置……后者是用(yòng)户无意中(zhōng)禁用(yòng)Zoom等公(gōng)司在其产(chǎn)品中(zhōng)提供的非常强大的安(ān)全功能(néng)的常见场所。

第二，技(jì )术可(kě)以而且应该是透明的，能(néng)够提醒员工(gōng)它正在监控以维护安(ān)全的数字工(gōng)作(zuò)场所。应将其视為(wèi)可(kě)视护栏、警示灯和安(ān)全系统，根据风险在需要时激活。例如，技(jì )术可(kě)以删除聊天中(zhōng)的客户信息文(wén)件或链接，并将其替换為(wèi)一条消息，指出该文(wén)件由于保护敏感数据的要求而被阻止。另一个例子是，技(jì )术可(kě)以通知员工(gōng)，出于合规目的正在录制视频会议，在会议中(zhōng)，可(kě)以通知用(yòng)户他(tā)们应该避免的风险行為(wèi)。在这些场景中(zhōng)，安(ān)全和合规团队只会收到风险通知，而不会收到不相关、浪费时间的非风险通知。

最后，随着合规和安(ān)全团队对引发风险的会议、聊天和对话进行取证审查，可(kě)以使用(yòng)技(jì )术解决风险并通知员工(gōng)。这些类型的可(kě)视护栏和警示灯可(kě)以显著降低最常见的风险，并通过减少信号噪声，更容易关注更棘手的风险。

公(gōng)司组织如何防止不满或辞职员工(gōng)造成的安(ān)全威胁？

除了尽最大努力公(gōng)平对待员工(gōng)，并设置基本的不满抑制措施外，处理(lǐ)边缘不满员工(gōng)的最佳方法是让违规行為(wèi)的规则和后果广為(wèi)人知，同时也让大家知道，有(yǒu)一种先进的技(jì )术可(kě)以并将检测到这些违规行為(wèi)。

通过明确所有(yǒu)沟通准则、信息共享方式以及信息和沟通的存储方式，雇主可(kě)以从一开始就降低风险。也就是说，法规遵从性和安(ān)全性工(gōng)具(jù)可(kě)以实现风险检测，同时在每次协作(zuò)、交互和对话中(zhōng)精(jīng)确定位法规遵从性问题的确切时刻或实例，无论是视频、语音、聊天还是其中(zhōng)共享的文(wén)件。这些规则和含义可(kě)以在最初的雇佣协议以及员工(gōng)作(zuò)為(wèi)入职的一部分(fēn)签署的典型隐私和行為(wèi)规则中(zhōng)进行概述和阐述。