在技术领域的阴暗角落里,有很多这样的故事:管理员将企业锁在自己的IT环境之外,贪婪的员工出售数据,或者安全工程师在网络中安装后门。这些行为的动机可以涉及从经济利益到报复的任何事情,其后果通常对所有相关人员都是灾难性的。
最近席卷各行各业的技术裁员潮只会加剧这一现象。CyberGRX(一家帮助企业管理、监控和降低合作伙伴生态系统风险的公司)的首席技术官Frank Price表示,“只需一名未经审查和心存不满的员工,就足以对大型企业造成巨大伤害。”
内部破坏甚至可能在员工被解雇之前就开始了。仅仅是企业裁员的谣言就会造成恐慌和混乱,进而导致员工做出有害的反应。WithSecure公司的首席威胁和技术研究员Tom Van de Wiele表示,“如果管理不当,决定员工离职是否会让公司变得糟糕的因素有三个:途径、动机和机会。”
数据显示,解雇员工可能会导致品牌受损、声誉受损或经济损失。DTEX Systems的《2023年内部风险调查报告》指出,12%的员工在离开公司后会带走敏感知识产权。这通常包括客户数据、健康记录、销售协议和其他重要文档。最有可能越界的是那些兼职或寻找新的(也许是在竞争对手处)职业机会的人。
这些都是企业需要重点关注的问题,但幸运的是,这种情况是可以预防的。以下是一些可以在裁员过程中减轻负面影响的策略。
展示同理心和尊重
裁员对员工来说几乎是一种不可避免的情感体验。DTEX Systems公司反内部威胁安全和商业情报主管Armaan Mahbod表示,“企业需要意识到,每个人都应该得到尊重和关心。无论结果是积极的还是消极的,同理心都能大有帮助。”
为了在这样的困难时期确保公平,企业应该优先考虑其领导的透明度、直接性和完整性。根据Price的说法,“当一个高度诚信的流程运行时,这种痛苦可以更容易地管理,给受影响的员工提供尊重和充分的理由,让他们知道为什么企业要做出裁员的艰难决定。”
Beyond Identity公司安全和基础设施副总裁Bob Burke表示,提供真正的支持,比如咨询或职业指导服务,也有助于将裁员的影响降到最低,降低员工粗心或故意破坏安全的可能性。
此外,同理心和尊重应该扩展至所有员工,而不仅仅是那些被解雇的员工。正如Van de Wiele所说,“通过倾听和行动让你的员工开心,这是区分为贵公司工作的人与为贵公司着想的人的关键。”
通过优先考虑所有员工的福祉,培养一种同理心和尊重的文化,那么即使在充满挑战的时期,企业也可以营造一个积极和支持性的工作环境。
跨部门协作可以防止内部威胁
如果人力资源部门、财务专家、内部IT、首席信息安全官(CISO)和其他利益相关者共同努力,离职过程会顺利得多。CISO在此过程中尤为重要,因为他们在企业的整体安全中起着关键作用。
Price给公司的建议是:“确保关键的安全人员处于大规模裁员的核心范围内,并为所有行动制定计划。让CISO参与对话可以帮助防止心怀不满的工程师或销售人员仍然保留GitHub或Salesforce的登录凭据,并造成破坏。这种情况特别常见,因为许多被解雇的员工都有内部知识,以及可以利用的密码、软件和系统。如果没有适当的访问控制,恶意的特权升级将很难被发现。如果有足够的时间、资源和协议得到执行和遵守,这个问题可以处理得很好,但在大规模裁员的情况下,这个过程往往会更加混乱。”
如果公司提前做好准备并制定战略,就会有所帮助,正如Mahbod建议的那样:“指定一个特别的委员会,尽可能提前通知即将到来的裁员,为潜在的后果做好准备。”
防止数据和代码丢失
当员工突然离开企业时,数据或代码丢失的可能性会对企业的安全状况产生重大影响。虽然大多数员工认为自己并不会带来网络安全风险,但DTEX Systems的一项研究显示,“任何企业中大约有50%的人会保存自己参与的项目中的机密知识产权。更令人担忧的是,这些员工中有12%的人甚至会从他们没有参与过的项目中获取数据。”
企业应该意识到真正的风险来自他们自己的企业防火墙。数据丢失预防和保护的未来是以人为中心,而不是以数据为中心。
企业应该监控数据丢失活动,并实施策略来限制企业内外不必要的数据移动。这可能包括强制设备锁定上传到个人网络邮件、文件共享网站或USB端口的文件,以防止成功的泄露事件,特别是那些因裁员而发生的事件。
这种方法还可以帮助解决“来自同事的请求”(request via colleagues)风险。Palo Alto Networks公司企业系统工程总监Amit Tailor表示,“心怀不满、恶意的员工可能会指望通过那些还不知道自己被解雇的同事获得额外的数据访问权限。”
他补充道,这同样适用于数字和物理访问。前员工非常熟悉办公室布局和使用物理设施的方法。在某些情况下,他们会是前台和安保人员熟悉的面孔。
注意休眠账户
黑客经常攻击那些遭受裁员的公司。Price解释称,“他们可能会试图侵入尚未被暂停的休眠账户,或者拦截正在运往公司总部的硬件。这就是定期清点所有设备,监控和妥善归档旧账户,并验证所有访问、设备和其他攻击面都得到充分解决至关重要的原因。”
如果企业可以轻松地立即撤销对公司资产的访问权限,则可以降低帐户和设备被劫持的风险。Tailor建议称,拥有一个单一的身份系统将支持一次性撤销或禁用一个账户和所有公司资源。
Endor Labs的首席技术官兼联合创始人Dimitri Stiliadis补充道,在所有服务中全面采用单点登录(SSO)应该是“重中之重”。使用单点登录机制无法撤销的静态凭据和特权访问可能是风险最高的。当涉及到软件供应链安全性时,SSO和与开发服务(例如供应链管理工具和CI/CD管道)的适当集成也是必不可少的保障。
注意现有的安全漏洞
在压力大的时候,每个人——不仅仅是被解雇的员工——都会犯错误。Mahbod认为,“不确定性和压力会分散人们的注意力,使他们无法像平时一样勤奋地工作,从而导致无意的疏忽造成安全漏洞。”
这有助于了解企业最薄弱的安全点是什么,并主动解决它们,思考它们可能变成威胁的潜在方式。安全意识培训、教育和政策变化可能有助于消除这些风险。
优先考虑业务连续性
安全领导者应该参与每一次关于业务连续性的讨论。更好的是,他们应该带头谈话。Price表示,“这些业务连续性计划应该包括识别单点故障和其他相关信息,以便在裁员发生之前进行审查。”
如果一个人意外离职,那么缺乏适当的业务连续性流程可能会导致数据或系统可用性缺失等后果。
考虑分段离职
有时候,采用分阶段裁员的方法对下岗员工和公司都有好处。人力资源团队可能会有更多的时间来帮助人们处理这种情况,同时,业务的连续性可能会得到更好的保护。下岗员工可以完成工作,交接任务,传递关键信息。
Burke补充道,“这也让安全团队有更多的时间来审查所有访问权限,并在可能的情况下完成撤销操作。”
但是,无论分阶段离职的过程多么顺利,关键的知识或专业技能总是会丢失。根据Burke的说法,这种情况可以通过对员工进行交叉培训来缓解,这是一种常见的做法,可以创建冗余并减少孤岛,并要求团队提供更新的文档和流程手册,以确保每个需要的人都能轻松获取关键知识。
在可能的情况下,确定并授权获取信息的权限
任何系统或业务功能依赖于一个人都不是一个好主意。Tailor解释称,“当员工离开公司时,应该有一个指定的人继续留在公司,并有权访问所有的信息、系统和数据。在某些情况下,这可能不止一个人,访问权限可能会根据敏感性或功能进行划分。但是,需要注意的是,将敏感信息授予错误级别的员工可能会增加潜在风险。”
