インサイダー リスクは、企業内のどこにいても、誰にでも発生する可能性があります。 不満を持った元従業員が盗むことから来る可能性があります 人工知能の企業秘密 または誰かが競合他社によって引き抜かれた モバイルチップ設計の秘密 ドアを出る途中。 ある企業は最近、CFO が誤って「再構築」というタイトルの文書を全社に共有したことを知りました。 意図しないデータ漏洩は、従業員の不安を引き起こしたり、漏洩したデータが株主に影響を与える可能性がある場合、上場企業に対する米国証券取引委員会 (SEC) 規則の公正開示 (Reg FD) 提出要件を引き起こす可能性さえあります。
セキュリティ チームにとって、意図しないデータ共有に対して、CFO との戦闘的なアプローチ (外部の脅威に対するもの) を採用することは不適切な場合があります。 もっと良い方法があります。
従業員の調査に対する共感的なアプローチ
外部のリスク (マルウェアなど) に対処する方法と、内部関係者からのリスクに対処する方法は大きく異なります。
インサイダー リスクを管理する際には、考慮すべき多くの要素があります。特に、それらは望ましいビジネス成果に関連しているためです。 内部関係者の調査は、セキュリティ チームの範囲内だけで行うべきではなく、多くの場合、セキュリティ、人事、および法務の協力が必要です。 ガートナーによると、「調査データによると、インサイダー インシデントの 50% 以上は悪意のないものであることが示されています」。これは、多くの場合、インシデントの原因となった従業員が単に仕事を終わらせようとしたり、間違いを犯したりしたことを意味します。ショートカットを取る。 彼らの行動が意図的に悪意のあるものであるかのように扱うことは、間違ったアプローチであり、逆効果になる可能性があります。 調査に携わる者は、判断のない共感的なアプローチをとらなければなりません。 そうしないと、その従業員が再び同じ過ちを犯したり、不満を抱いて権利を剥奪されたりするリスクが大幅に高まります。
共感を持って内部関係者の調査に取り組むには、心理的な変化が必要です。 これは信頼を構築するための最初のステップであり、組織にとって最良の結果を得ることができます。 インサイダー調査に対する共感的なアプローチの 5 つの重要な要素を以下に示します。
- 接続して理解する: イベントが発生した場合、最初のアウトリーチは、「個人のクラウド アカウントにドキュメントを移動したことに気付きました。 そんなつもりだったの?」 彼らの反応は、それが間違いであったか、またはこれが許可されていないことに気付いていなかったため、しばしば驚きの 1 つになるでしょう。 おそらく、単に仕事を終わらせる必要があり、これが最も手っ取り早い方法でした。
- 無意識の偏見を探る: すべての人間は、私たちの行動や決定に影響を与える意識的および無意識の偏見を持っています。 人事チームは、他の利害関係者がこれらの偏見を調査し、それらを軽減するために取り組むのを支援できます。 同僚、CEO、または自分とは異なるグループや文化の誰かであろうと、すべての個人を平等に扱うことが重要です。
- パートナーシップをサポートするための安心: イベントが間違いだった場合は、問題が発生していないことを従業員に知らせてください。 従業員は自分が仕事を失う可能性があると信じており、仕事を失うのではないかと考えている可能性があります。 防御的になり、行動を否定するのは、人間の自然な本能です。 この出来事は元に戻すことができ、あなたが助けに来ていることを彼らに安心させてください. 彼らは彼らがやろうとしていたことについてより正直になる可能性が高く、あなたはより良い立場に立つことができます。
- 教育する: 過失または偶発的な事故が発生した場合、従業員に将来の正しい行動方法に関する情報を提供することが重要です。 エラー時のガイダンスは非常に影響力があり、たとえば年 1 回のトレーニング セッションよりも記憶に残る可能性が高くなります。 短い言葉で会話を強化できます 1 ~ 3 分の動画 特定の状況について。
- 行動を起こす: 共感を持って各調査に取り組むことが重要ですが、本当に悪意のある内部関係者による侵害の一部が常に存在します。 このような場合、文書化は重要です。 従業員が危険な行動を故意に行ったと判断された場合、そしてそれらが組織とそのデータに継続的なリスクをもたらすことが明らかな場合は、セキュリティ、人事、法務のすべての主要な利害関係者を集めて、従業員に推奨される行動方針を提供する時が来ました。エグゼクティブチーム。
共感を持って内部関係者の調査に取り組むことは、信頼、オープンなコミュニケーション、および尊重の文化を構築するのに役立ちます。 これにより、積極的なセキュリティ文化が構築され、永続化されます。何よりも、組織の最も価値のあるデータを安全に保護するのに役立ちます。
このコンテンツは、MIT Technology Review のカスタム コンテンツ部門である Insights によって作成されました。 これは MIT Technology Review の編集スタッフによって書かれたものではありません。