非技术性地减少恶意内部人员的影响
这是一个计算机驱动的世界。技术正在日渐提高。今天,每个组织都使用某种类型的计算机来运作。计算机和互联网是人类最好的朋友。然而,如果以不道德的方式使用,它们将很快变成非常糟糕的敌人。任何组织都可能面临数据安全的威胁。这种威胁可能来自内部或外部。需要用不同的方法来处理这些因素。内部威胁比外部威胁更危险。当你继续阅读时,你会明白为什么会这样。
什么构成内部威胁?
顾名思义,内部威胁来自于组织内部。任何在组织内工作的人都可能在任何时候成为威胁。这取决于具体情况。内部人员应该对他们工作的组织忠诚。这在大多数情况下是正确的。然而,也有例外的情况。这些人产生了恶意的意图。这意味着这些内部人员对组织产生了某种不良的意图,并努力谋求组织的垮台。这是一个非常危险的事情,需要注意。
也有可能存在着非恶意的意图。由于非恶意的意图而造成的错误也会损害组织。这种错误可能是由于压力和紧张而发生的。通常这种错误发生在星期五或星期一。人不是一个完美的动物。他可能会犯错误,但如果错误背后没有恶意,总是可以原谅的。恶意的内部人员是人们必须要小心的人。他们有可能在许多方面损害组织。
谁是这些恶意的内部人员?你如何打击他们?
从历史上看,恶意的内部人员通常是在某个时间点上最好的员工之一。他们是对系统有充分了解的人,知道如何处理有问题的问题。事实上,他们在很多时候充当故障排除者。他们拥有对内部系统的授权访问,并有能力造成损害。要找出一个人的内心世界是非常困难的。这个世界上没有任何一台计算机能够发现这个秘密。通常情况下,一个组织在委托一个人承担某项责任之前会检查他的证书。然而,有时即使是拥有最强诚信商数的人也会变得脆弱。
这可能导致对某些活动的承诺违背了组织的利益。这就是为什么组织在任何过程的每个阶段都选择检查和平衡程序的原因。这种检查和平衡可以过滤掉有恶意的人。对这种活动的研究及其结果。恶意的内部人员活动是一个经过充分研究的课题。这些研究结果是大家都能看到的。许多组织已经对这一主题进行了广泛的研究。卡内基梅隆研究所就是这样一个组织,它在这一领域进行了开创性的研究。历史数据是这些研究结果的基础。
然而,研究已经清楚地确定了这些趋势,以下是研究结果。有一句古老的谚语,其内容如下。小偷只有在被抓住时才是小偷。许多案件都没有被发现。被发现的案件构成了这些调查结果的基础。从统计学上看,这些是调查结果。
三分之一的员工只有在他们认为可以逃脱的情况下才会尝试偷窃。
三分之一的人甚至会在其他情况下偷窃。
其余三分之一的人永远不会接受偷窃的诱惑。
从上面的分析来看,在任何组织中,你都能找到三分之二的员工可以被归类为诚信有问题的人。还有一个值得注意的事实是,在被发现的恶意行为总数中,内部人员约占三分之二的案件。
各组织采取的对抗性方法。每个组织都有自己的方法来检查这种行为。在这个初始阶段的调查本身就能发现通常超过四分之三的恶意意图活动。在这种情况下,恶意活动的检测发生在对组织造成任何伤害之前。很多时候,这些措施是不够的。正是在这种情况下,损失才变得具体化。
你如何检测内部人员的恶意意图?
这是很难发现的。有恶意的人尽可能以最正常的方式行事。然而,这些人表现出的某些机制需要经常监测。通常情况下,他们的行为与具有非恶意的人的行为方式相同。因此,对这个问题的处理应以个案为基础。这可能会导致无缘无故地追捕一个无辜的人。这样的人后来可能会对组织怀有恶意的意图。
你可以发现恶意的一个迹象是某些员工的奢侈消费风格。如果你发现某位员工的支出远远超出他的正常收入,这就需要引起警惕。这意味着,你必须提高警惕。有些员工在感觉要退出组织时,会产生恶意的想法。这类员工的活动需要严格监控。就工作而言,这种人减少与他人的沟通渠道。这种特质需要仔细监测。事实是,有恶意的人不会有任何假期。因此,组织必须打击这种活动,迫使员工在一年中至少休假两星期。它可以对那些长期没有利用假期的人进行检查。
管理层应该对恶意的内部人员采取什么行动?现在我们将假设以下情况。假设你是一家公司实体的首席执行官,比如说X公司,该公司有数百名员工。这些人包括高级别的官员。工作人员还包括低级别的官员和销售人员以及其他下属人员。在今年的四个季度中,出现了以下不端行为的情况。第一季度:调查显示有8起密码误操作事件。调查显示从外部系统获取内部数据。在接受询问时,相关工作人员佯装不知情。
密码猜测和盗窃是这些事件发生的原因。在任何情况下保持密码的保密性是他们培训的中心思想。公司没有对犯错的员工采取任何行动。问题。你也会这样做吗?第二季度:调查组发现了四起内部数据被存储在外部存储设备(如公共云服务器)上的情况。成员们澄清说,他们这样做是为了能从家里访问。工作必须按时完成。IT部门明确澄清,这是违反规定的。公司训斥了这些员工,并警告他们今后对这种情况的容忍度将为 "零"。
他们可以选择要求IT部门给予他们访问权,公司董事会会做出决定。问题是。你对此的反应是什么?第三季度:调查显示,某些工作人员卷入了个人事务。这些事件在另一项无关的调查过程中浮出水面。管理层决定,这些事情不属于调查小组的职权范围。然而,这些事情是人力资源部门所知道的。人力资源部门没有深究此事,但明确表示公司不会容忍这种情况。问题。你对这个案件有什么反应?第四季度:这是一个涉及高层管理人员的案例。他在第三季度与一位销售主管发生婚外情后退出了组织。她也退出了组织。他们两人都成立了一家新公司。这家公司是你的直接竞争对手。你发现,在这么短的时间内,你现有的业务有20%以上转移到了新公司。
另有20%的人正在离开的路上。这是一个明显的内部人恶意活动的案例。问题。在这种情况下,你会有什么行动计划?上述四种情况都有可能发生数据被盗的情况。在进一步的调查中,还可能出现某些其他问题。出现了某些共同的线索。如果是这种情况,这些活动需要更深入的探究。否则,以下是你应该如何处理这个问题。第一季度:在今天的情况下,保持密码的保密性是一个非常重要的方面。在这一方面不应该有任何妥协。你应该建议成员在今后更加小心。你可以通过对这些员工的监视来避免进一步的不端行为。第二季度:员工可能有良好的意图,在家里完成工作。这表明他们对工作的奉献精神。然而,一个公司有框架性的规则和条例。你必须不惜一切代价遵守这些规则。
你应该劝告工作人员不要重复这种行为,并鼓励他们在规定时间内完成工作。第三季度:应阻止工作人员在办公时间处理个人事务。他们可以在工作区外自由地处理自己的事务。只要这些事情不发生在办公室,不影响办公室工作,你就应该尊重他们的隐私。但是,根据公司的规定,一旦他们结婚,这类配对者的职位应该在不同的办公室。第四季度:这是一个明显的恶意内幕活动的案例,你应该以坚定的态度来处理。公司可以考虑对相关人员采取法律行动。在某些情况下,你可以在一开始就判断出恶意的意图。让我们举出几个例子。
学会寻找早期迹象。一家在合同中对逾期付款罚金提出异议的公司,很可能会定期拖欠付款。学会寻找微妙的迹象。如果你发现某些成员试图回避电话和电子邮件信息,这是一个明显的迹象,表明他们不希望成为你项目的一部分。你越早清除他们,对组织就越有利。
摘要
并非所有的意图都是恶意的。只有那些能够对组织造成故意伤害的意图才应该被称为恶意的。你也应该知道,对组织的损失或伤害可能是由于间接的或恶意的意图。我们的目标应该是只遏制恶意的意图。你应该把恶意的意图消灭在萌芽状态。恶意的意图是今天在工作场所发生的所有这些欺诈行为的主要原因。