คอลัมน์นี้เผยแพร่ครั้งแรกในบล็อกของ Jeff Neal, ChiefHRO.comและเผยแพร่ซ้ำที่นี่โดยได้รับอนุญาตจากผู้เขียนการเปิดเผยข้อมูลล่าสุด เกี่ยวกับการละเมิดทางไซเบอร์ครั้งใหญ่ ของ Office of Personnel Management เน้นให้เห็นถึงความเสี่ยงของระบบที่มีข้อมูลส่วนบุคคลที่สามารถระบุตัวตนได้ (PII) OPM ตกเป็นเป้าหมายของการโจมตีประเภทนี้ เนื่องจาก OPM มี PII จำนวนมาก ลักษณะงานของ OPM นั้นเป็นไปไม่ได้สำหรับพวกเขาที่จะหลีกเลี่ยงการเก็บ PII
ไว้ในทุกคนในรัฐบาลกลางและผู้เกษียณอายุในสหพันธรัฐทั้งหมด OPM
ดูแลระบบการประกันสุขภาพ ประกันชีวิต และการเกษียณอายุ พร้อมด้วยฐานข้อมูลขนาดใหญ่ของข้อมูลการสอบสวนเบื้องหลัง ภารกิจของพวกเขาทำให้มั่นใจได้ว่าพวกเขาจะตกเป็นเป้าหมายเสมอ
เจฟฟ์ นีล
OPM ไม่ใช่หน่วยงานของรัฐบาลกลางแห่งเดียวที่ดูแลร้านค้าขนาดใหญ่ของ PII ทุกหน่วยงานต้องมีบันทึกเกี่ยวกับพนักงานของตน บันทึกเหล่านั้นรวมถึงชื่อ ที่อยู่ วันเกิด หมายเลขประกันสังคม ชื่อของสมาชิกในครอบครัวที่ใกล้ชิด (ในแบบฟอร์มผู้รับผลประโยชน์) สถานที่ที่พวกเขาเคยอาศัยอยู่ (ในบันทึกการสอบสวนและแฟ้มประวัติเงินเดือน/บุคลากร) และข้อมูลส่วนตัวอีกมากมาย ความจริงแล้ว ข้อมูลแทบทุกชนิดที่ใครบางคนต้องการเพื่อขโมยข้อมูลประจำตัวของพนักงานของรัฐบาลกลาง ทำลายเครดิตของพวกเขาและทำให้ชีวิตของพวกเขาต้องหยุดชะงักครั้งใหญ่ล้วนอยู่ในระบบทรัพยากรมนุษย์ของรัฐบาลกลาง จำนวน PII ที่องค์กรด้านทรัพยากรบุคคลจัดเก็บไว้อาจทำให้คนคิดว่า: “องค์กร HR ส่วนใหญ่มีพนักงานรักษาความปลอดภัยทางไซเบอร์กี่คน” คำตอบอาจทำให้ผู้อ่านส่วนใหญ่ประหลาดใจเพราะไม่มีเลย
หน่วยงานมักจะพึ่งพาหัวหน้าเจ้าหน้าที่ข้อมูลและเจ้าหน้าที่รักษาความปลอดภัย
พร้อมด้วยสำนักงานสืบสวนกลางแห่งสหรัฐอเมริกาและกระทรวงความมั่นคงแห่งมาตุภูมิ เพื่อให้บริการที่จำเป็นในการปกป้องข้อมูลและกู้คืนจากการละเมิด โดยทั่วไปแล้วพวกเขาถือว่าผู้ให้บริการระบบที่พวกเขาซื้อจะต้องทำให้แน่ใจว่าระบบเหล่านั้นมีความปลอดภัย แม้ว่าจะไม่ใช่ภารกิจของ HR ในการให้บริการด้านความปลอดภัยทางไซเบอร์ แต่เป็นภารกิจของพวกเขาในการปกป้องข้อมูล PII ที่ได้รับจากพนักงาน
ข้อมูลเชิงลึกโดย Carahsoft: เอเจนซีจะบรรลุประสบการณ์ลูกค้าที่ยอดเยี่ยมด้วยความปลอดภัยทางไซเบอร์ที่ได้รับการปรับปรุงได้อย่างไร ในระหว่างการสัมมนาผ่านเว็บสุดพิเศษนี้ Jason Miller ผู้ดำเนินรายการจะหารือเกี่ยวกับการเปลี่ยนแปลงสู่ระบบคลาวด์และกลยุทธ์การจัดการข้อมูลประจำตัวและการเข้าถึงกับหน่วยงานและผู้นำในอุตสาหกรรม
เราควรคิดใหม่ว่า HR จัดการกับความรับผิดชอบนี้อย่างไร และพิจารณาวางทรัพย์สินจากทีมของหัวหน้าเจ้าหน้าที่สารสนเทศ (หรือหน่วยงานใดก็ตามที่หน่วยงานมอบหมายความปลอดภัยทางไซเบอร์ให้) ในสำนักงานทรัพยากรบุคคล การฝังทรัพยากรเหล่านั้นบางส่วนไว้ในทีม HR (ในขณะที่องค์กรยังคงยึดติดกับ CIO) จะช่วยให้พวกเขาเห็นภาพประเภทข้อมูลที่รวบรวม วิธีการใช้ และสิ่งที่เกิดขึ้นกับข้อมูลได้ดีขึ้นมาก
เราต้องยอมรับความจริงที่ว่าอาณาจักรไซเบอร์เป็นสนามรบที่ยิ่งใหญ่ต่อไป โลกส่วนใหญ่ของเราขับเคลื่อนด้วยเทคโนโลยีสารสนเทศจนกลายเป็นวิธีการโจมตีที่มีประสิทธิภาพสูง ผู้ไม่ประสงค์ดี ไม่ว่าจะเป็นรัฐหรืออาชญากร จะยังคงหาทางใช้ประโยชน์จากจุดอ่อนในระบบต่อไป ไม่มีวิธีใดที่จะหลีกเลี่ยงการมีที่เก็บข้อมูลขนาดใหญ่ และไม่มีทางรับประกันได้ว่าจะไม่ถูกแฮ็ก เราไม่สามารถมีความปลอดภัยทางไซเบอร์ที่สมบูรณ์แบบได้ แต่เราสามารถมีความปลอดภัยทางไซเบอร์ที่มีประสิทธิภาพได้ หน่วยงานที่มองว่าการรักษาความปลอดภัยในโลกไซเบอร์เป็นเพียงการฝึกปฏิบัติตามกฎระเบียบ โดยพวกเขาทำให้แน่ใจว่าพนักงานของพวกเขาผ่านการฝึกอบรมประจำปีเพียงไม่กี่นาที และติดตั้งการอัปเดตตามที่ผู้ขายจัดให้ พวกเขากำลังทำให้ตนเองและพนักงานของพวกเขาตกอยู่ในความเสี่ยง ความเสี่ยงด้านแรงงานนั้นมีมากอันตรายที่อาจเกิดขึ้นกับพนักงานถือเป็นความเสี่ยงในการปฏิบัติภารกิจ หากพนักงานกังวลเกี่ยวกับการเปิดเผยข้อมูลทางการเงินและข้อมูลส่วนบุคคล พวกเขาอาจมีผลงานน้อยลงหรือไม่เต็มใจที่จะอยู่ในรัฐบาล หากข้อมูลส่วนตัวเชิงลึกที่รวมอยู่ในแบบสอบถามเพื่อความปลอดภัยถูกขโมย ข้อมูลเหล่านั้นอาจถูกแบล็กเมล์ หากตัวตนของพวกเขาถูกขโมยหรือพวกเขาได้รับอันตรายทางการเงิน พวกเขาอาจถูกล่อลวงให้เปิดเผยข้อมูลหน่วยงานเพื่อเงินได้ง่ายกว่า การรบกวนพนักงานอาจเป็นวิธีที่มีประสิทธิภาพมากในการขัดขวางการดำเนินงานของหน่วยงาน