IT与人力资源正确沟通的四个理由
2018-06-11 来源:
而且,很多时候,肇事者通常只是无意识的犯错误,或者他们只是把事件悄悄的搁置在一旁而没有受到任何责备,安全部门的人员对于这种态度感到惊讶和失望。那么为什么公司会有这样的脱节呢?因为他们没有协同人力资源,而且对于这些行为的严重性或者风险性没有明确的界定,即使是那些理应得到严肃对待的事件也同样如此。
对于上述问题的解决办法就是在事件发生之前寻求正确的人力资源管理。我知道,就像狗和猫一起生活一样,这种概念---过于感情化的人力资源工作人员与强硬并且粗俗的IT安全人员们一起工作,似乎预示着企业将走向灭亡。但是在很多问题上需要这两部分人员的密切合作,如果能在事故发生之前意识到这一点,就可以避免很多痛苦和麻烦。
身份和认证
为一个新雇员初步建立的身份信息(包括驾驶执照和W-2证件等)是人力资源专门负责的职责。当身份建立后,该新雇员就能够被证实他确切的身份,那么,我们就认为,初步鉴定和认证或者又被称为“initial I&A”的步骤完成了。
而这绝不是一种能够自动进行的任务,同样的,也不是IT部门的任务。如果有人出现在IT服务台索要员工信息,而服务台却没有人力资源关于初步鉴定和认证的记录,那么警报器就该发出警报了。除非有某种特例---厂商与企业部门的合同作为initial I&A时,企业就会赋予厂商临时ID,在一般情况下,IT部门不应该负责由人力资源部门管辖的事务。
这是我所见过的最常见的错误之一,不过initial I&A不应该与职责和权利的实施混为一谈。只有当是否雇佣某人的管理决议由人力资源执行时,一个人的网络个人信息才能与任务、具体职责、薪酬和工作的其他事宜相结合。如果这些步骤都会混淆意味着人力资源部门的失职,而这必然导致冲突、混乱和安全性减弱。
可接受行为
IT部门可能算得上是看门人,但是它并不是公司所有涉及个人信息和道德伦理方面的事情的仲裁者,而且这是人力资源的工作,即使IT总管或者安全人员执行的是IT政策保护伞下的“可接受使用的”策略。IT部门经常会试图为企业组织的电脑系统和资源信息确立正确的伦理行为。
可能说这些会有点混淆主题,人们可能会认为只有某些特定的行为会被禁止,或者会认为技术误用与实际的伦理违背之间没有明确的联系,混淆会造成不明确性,而不明确性会使员工不清楚该如何行事。
与人力资源部共同来理解企业组织的伦理标准是非常重要的,而且能确保他们对可能发生的事情承担责任。例如,一个非IT伦理政策可能只会侧重于工作绩效和性别等敏感问题,而忽视现如今信息技术所允许的资源和共同行为等。
通过审查所有的这些政策,人力资源部门可能会决定增加关于处理敏感信息或者当与公司资源结合时的行为等问题的主题。只需要一些耐心,就可能很大程度上依靠人力资源政策,那样一个“可接受使用政策”就可以专注于真正的用途以及潜在的缺陷问题上,而不是试图重新设定政策背后的伦理鉴定。
培训vs.意识
对于大部分IT部门安全人员来说,白天基本上没有足够的时间完成工作,所以我常常在想为什么他们花费这么多时间来为全体办公室人员提供信息网络安全培训,把时间花费在那种单一用途的培训班不仅仅是浪费时间,而且那些自愿参加培训班的不一定是最需要得到培训的人员。
不管是在易趣网上买卖东西或者在办公桌前经营业务,行为、注意事项、政策和培训都应该是类似的,虽然模式略有不同。交易ID证章和数据库帐号信息?将钥匙遗忘在门上或者将笔记本电脑的密码写在明显位置?当系统中出现严重问题或者文件档案没有上锁需要立即呼叫经理?技术不是这些问题的答案。
如同信息安全中的大多数其他管制措施一样,最有效的措施无非是正确履行任务的业务流程,那样就没有理由不将安全培训和根据企业组织政策定期设立的人力资源培训相结合。首先,IT安全培训者应该要查阅人力资源培训列表或者目录,看看在现有的课程中那些信息可以相互结合。
标签: 安全 标准 媒体 企业 数据库 网络 网络安全 问题 信息安全 信息技术 信息网络安全
版权申明:本站文章部分自网络,如有侵权,请联系:west999com@outlook.com
特别注意:本站所有转载文章言论不代表本站观点!
本站所提供的图片等素材,版权归原作者所有,如需使用,请与原作者联系。
上一篇:微软漏洞遭攻击 用户需速装补丁