0
0
Uma deficiência comum dos departamentos de recursos humanos (RH) é que, apesar de ser uma operação projetada para colocar os humanos no centro de como uma organização é administrada, eles geralmente não se alinham adequadamente com suas contrapartes de TI e os principais sistemas de tecnologia que definem como um os negócios são administrados e protegidos contra riscos cibernéticos.
A coordenação insuficiente entre os processos e procedimentos de RH e TI permanece comum e dá origem a falhas de segurança que podem representar algumas das vulnerabilidades mais perigosas na superfície de ataque de uma empresa. Vamos examinar o escopo do desafio e algumas das principais prioridades de gerenciamento de ativos cibernéticos que podem fechar a cisão para uma postura de segurança cibernética mais robusta.
Elevando o papel do RH na proteção da empresa
Já se foram os dias em que o papel do RH na segurança da empresa dependia de tutoriais básicos para os funcionários sobre como proteger senhas nos equipamentos da empresa. O ambiente de ameaças de hoje se cruza com a força de trabalho de mais maneiras do que nunca — desde BYOD e falhas de autenticação até vulnerabilidades de usuários que fazem o spear phishing parecer estranho. Os ataques tradicionais de engenharia social agora estão sendo aumentados por explorações sem cliques que comprometem os dispositivos dos funcionários sem que o usuário precise clicar em um link ou realizar qualquer ação.
Além das ameaças maliciosas, mesmo os processos rotineiros de RH podem apresentar riscos à organização quando não estão alinhados adequadamente com os processos de TI de uma organização. Como apenas um exemplo, quando um funcionário sai de uma empresa, o desligamento vai muito além da entrevista de saída para incluir também a remoção do acesso a vários sistemas, contas e dispositivos corporativos – todos os quais exigem uma coordenação estreita entre o pessoal e os sistemas de RH e TI.
Para proteger melhor a empresa, é essencial que o RH e a TI fiquem mais unidos em um entendimento comum e avançado de higiene cibernética e mitigação de riscos. Isso depende de uma maior conscientização sobre o impacto que os processos de RH têm nos ativos cibernéticos em outras partes da organização, bem como o papel do RH no gerenciamento de acesso para funcionários e contratados. Isso requer visibilidade de ativos que deve ser contínua e em tempo real, pois nossas funções, dispositivos e acesso a dados e sistemas podem mudar várias vezes ao longo de nosso emprego.
Três prioridades para melhor visibilidade dos ativos cibernéticos e alinhamento entre RH e TI
Qualquer falta de coordenação de TI entre os muitos pontos de integração e sistemas de negócios envolvidos na operação de RH cria riscos para a empresa. Deve haver um esforço para obter mais visibilidade e processos de negócios sinérgicos para alinhar as operações de RH com o maior patrimônio de TI da organização. Aqui estão três prioridades para conseguir isso:
- Aumente o QI de dados entre os profissionais de RH: A alfabetização de dados entre analistas de negócios específicos de domínio é importante, e essa mensagem precisa ficar mais alta na comunidade de RH. Quanto mais os profissionais de RH puderem entender as implicações tecnológicas de seu trabalho, mais poderão ajudar a proteger o patrimônio de TI à medida que seus processos e políticas se desenrolam na força de trabalho.
- Integre totalmente o RH como um domínio bem representado na propriedade de TI: A união entre o departamento de RH e o departamento de segurança de TI depende muito do alinhamento de seus respectivos processos de negócios. Idealmente, essa integração deve incluir estruturas de conformidade predefinidas e específicas de RH no domínio de gerenciamento de ativos cibernéticos que possam ser aplicadas a todos os ativos cibernéticos existentes e futuros. Também deve haver uma coordenação clara com a TI sobre o papel do RH no acesso dos funcionários a sistemas, arquivos e dados.
- A automação é essencial: o alcance digital do RH na organização é tal que a automação será inevitavelmente necessária. Como exemplo, voltemos ao caso de desligamento de funcionários. Especialmente com a atual “grande demissão”, os vários tíquetes de TI gerados por cada offboarding podem se acumular e levar a backlogs que expõem a empresa a riscos desnecessários, a menos que a automação seja introduzida para lidar com mais desses processos relacionados a RH e lidar com eles mais rapidamente .
Essas prioridades ressaltam o papel fundamental que o gerenciamento de ativos cibernéticos desempenha no nexo das operações de RH e TI. Uma melhor adesão a padrões de dados comuns, um esquema rigoroso de marcação na nuvem e outros fundamentos básicos de gerenciamento de ativos cibernéticos podem otimizar e dimensionar a capacidade de as equipes de RH e TI trabalharem perfeitamente juntas. O resultado é mais visibilidade e controle e uma única fonte de verdade sobre onde e como as operações de RH e TI afetam umas às outras, uma clareza que aumenta a segurança geral da empresa.
FONTE: DARK READING