摘要：人力资源可以与IT和其他部门合作，提高远程工作人员的安全意识并帮助防止恶意网络攻击。以下是实现这一目标的六种方法。

   人力资源可以与IT和其他部门合作，提高远程工作人员的安全意识并帮助防止恶意网络攻击。以下是实现这一目标的六种方法。
　　
　　远程工作的指数级增长给黑客带来了大量易受攻击的端点。
　　
　　位于纽约的标准普尔全球市场情报公司451Research的高级研究分析师DanielKennedy表示，虽然远程工作并不新鲜，但远程工作的人数比例是前所未有的。
　　
　　提高员工意识是使公司成为一个没有吸引力的目标并阻止任何网络安全漏洞的关键。人力资源领导和他们的团队——与IT合作——在这种意识中扮演着重要的角色。
　　
　　人力资源团队可以遵循以下六种策略来实现这一目标。
　　
　　1.了解HR在安全意识中的作用
　　
　　人力资源团队需要充分了解在家工作可能给公司带来的危险。
　　
　　Forrester安全和风险首席分析师HeidiShey表示：“攻击者将利用端点软件漏洞、网络攻击、电子邮件网络钓鱼和其他形式的社会工程来破坏端点。”
　　
　　HR的参与对于提高员工安全意识至关重要，这对于阻止网络安全攻击至关重要。
　　
　　“虽然公司可以采取措施保护端点、数据和网络访问，但这还不够，”Shey说。“他们还需要帮助引导员工了解远程工作的风险。”
　　
　　2.调整个人设备安全策略
　　
　　危机时期需要新的、更强大的安全措施。
　　
　　Shey说，HR和IT应该首先合作，为个人设备的使用制定明确且一致的政策。
　　
　　她说：“向员工明确说明他们将个人设备用于工作目的意味着什么。”“这可能意味着员工需要为IT下载和安装特定软件来管理设备，或者IT能够远程擦除他们的设备。”
　　
　　当员工了解使用个人设备进行工作意味着将某些隐私权和控制权拱手让给雇主时，他们可能会做出不同的设备决定。
　　
　　“一些员工可能希望将工作和个人生活分开，因此选择不将个人设备用于工作目的，”谢伊说。
　　
　　3.随时了解网络安全威胁
　　
　　黑客总是在改进和改进他们的攻击模式。但是，IT可以持续监控威胁形势并在攻击前发现首选方法。IT和HR可以保持开放的沟通渠道，因此HR可以立即提高员工的意识。
　　
　　在可预见的未来可能会持续存在的两种最常见威胁是网络钓鱼和网络入侵。
　　
　　网络钓鱼电子邮件诱骗员工泄露他们的密码、访问代码和其他用户识别信息，攻击者利用这些信息访问公司数据、资金和系统。
　　
　　“[虽然]我不认为[网络钓鱼]是一种新威胁，针对在家工作的员工的新变种正在出现，其中一些非常有效，”肯尼迪说。
　　
　　“例如，想想一封提到接触者追踪的电子邮件，”他说。“它包含一个好的网络钓鱼计划的所有特征——[它]及时[和]紧急，并且[它]产生基于担忧或恐惧的响应。”
　　
　　然而，不仅仅是电子邮件允许攻击者出口到端点。
　　
　　肯尼迪说，家庭网络与企业网络有着根本的不同，因此更容易受到攻击。
　　
　　他说，弱端点的一个例子是通过默认或弱密码可轻松访问管理界面的家庭路由器。
　　
　　这可能会暴露企业防火墙通常不允许的服务。
　　
　　“Wi-Fi网络可能没有得到有效保护，共享网络上的其他用户的行为是不同的，”肯尼迪说。“例如，您的大多数办公室同事在完成一天的工作后可能不会玩下载的游戏，但[他们的]孩子会。”
　　
　　物联网还提供了一系列不同的端点，对家庭网络的威胁比对商业网络的威胁更大。智能电视、手机和智能电器都是连接到家庭网络的设备的例子。
　　
　　Shey说，每人有六台联网设备，这对黑客来说意味着更多的机会。
　　
　　“甚至在大流行之前，我们就看到消费者物联网设备如何增加攻击面，”Shey说。
　　
　　但是，公司可以采取一些措施来有效缓解这些问题。
　　
　　“人力资源部门可以与[首席信息安全官]合作，集思广益，从提高安全意识举措到重新审视员工笔记本电脑上的端点控制，集思广益，”肯尼迪说。
　　
　　4.利用公关和营销的专业知识
　　
　　当公司中的每个人都关心并准确了解网络安全是什么以及如何提高公司效率时，网络安全才能发挥最佳效果。这意味着HR和IT可能希望联系其他部门以帮助提高安全意识。
　　
　　特别是，公关和营销部门拥有帮助提高消息传递效率的技能。“一家公司的营销和公关人员一天中的大部分时间都在思考如何制作吸引注意力的信息，”肯尼迪说。“一些最好的宣传活动看起来像广告活动。”
　　
　　他说，不要害怕让这些专家参与该计划来帮助制作消息传递。
　　
　　5.专注于安全控制部署的人力资源和IT协作
　　
　　HR和IT需要密切合作以提高安全性，同时又不会让员工负担过重。“在这个充满不确定性和员工压力的时期，人力资源部门可以做的最重要的事情就是同情并关注员工体验，”谢伊说。
　　
　　“在这种环境下，公司的一个主要[安全]风险是他们如何将员工视为财务困境，担心裁员以及对雇主的不满为内部威胁创造了完美的环境。”例如，糟糕的员工体验会激励员工对抗变革，而不是接受变革。员工可能有的更常见的反应之一是围绕控制工作或不支持控制。缺乏支持将使公司面临更多网络攻击。
　　
　　“在推出安全技术控制措施时，员工有时会被忽视，”肯尼迪说。
　　
　　“思维过程是他们受制于企业实施的任何事情；然而，[员工]通常拥有比人们意识到的更多的能动性。”这意味着IT在推出新的安全控制措施时确实需要依靠HR对员工体验的洞察。“人力资源和IT[应该]将这些控制的推出视为——虽然不是向客户或客户推出某些东西的水平——更接近那个水平，”肯尼迪说。肯尼迪说，有一些方法可以促进用户采用。以下是一些可以提供帮助的想法：
　　
　　•在推出之前仔细测试任何安全控制的可用性。•彻底解释推理和控制旨在解决的问题，例如意识培训。
　　
　　•对控件造成的摩擦或它如何使用户的工作更加困难的反馈持开放态度。
　　
　　•权衡摩擦与正在减轻的风险，并决定是否应继续或是否应调整控制。
　　
　　6.诉诸个人利益营销的主要规则是了解受众并吸引他们的关注。由于安全问题可能与任何个人问题无关，因此HR需要加倍努力，将安全与受众关心的事情联系起来。
　　
　　“有很多方法可以教育员工网络安全的重要性以及网络安全的工作原理，”国际律师事务所克拉克希尔的就业和网络安全律师查尔斯•拉斯曼说。
　　
　　“最关键的两个因素是高管的个性化和参与。”
　　
　　他说，个性化意味着向员工解释网络安全不仅对业务连续性至关重要，而且还可以保护他们自己的数据以及公司拥有的有关其家庭成员的数据，例如公司健康计划中的数据。
　　
　　当员工了解自己的安全和家人的安全处于危险之中时，他们更有可能保持警惕。
　　
　　解释为什么员工必须采取特定的安全措施——以及不这样做可能导致的危害——往往比简单地发布关于如何采取各种安全预防措施的说明更有效。
　　
　　“确保员工了解安全措施背后的原因、他们应该做什么以及如果他们有问题或疑问应该联系谁，”Shey说。
　　
　　编辑：Harris