Hvernig tryggjum við að mannauðsgögnin okkar komist ekki í rangar hendur? Hollráð frá Syndis

Í erindinu fóru þær Eva og Guðrún yfir hvernig netárásum hefur fjölgað verulega undanfarin ár og bentu á að íslensk fyrirtæki séu ekki síður útsett en fyrirtæki annarsstaðar í heiminum.

Þær lögðu áherslu á að netöryggi væri ekki lengur eingöngu á ábyrgð upplýsingatæknideilda eða öryggisstjóra. Í dag þurfi allt fyrirtækið að taka þátt og þar gegni mannauðsteymi mikilvægu hlutverki, sérstaklega þegar kemur að fræðslu, upplýsingaflæði og öryggismenningu.

Til að undirstrika hversu fagmannleg og skipulögð netglæpastarfsemi er orðin sýndu þær dæmi um skipurit raunverulegs árásarhóps. Það kom mörgum á óvart að sjá að slíkir hópar starfa nákvæmlega eins og hefðbundin fyrirtæki, með eigin mannauðsdeildum sem halda utan um allt frá ráðningum og veikindatilkynningum yfir í frammistöðusamtöl.

Af hverju mannauðsgögn?

Mannauðsdeildir hafa aðgang að gríðarlegu magni viðkvæmra upplýsinga, þ.e. launa- og bankaupplýsingar, heilsufarsgögn, frammistöðusamtöl og kennitölur starfsfólks svo eitthvað sé nefnt.

"Þegar maður leiðir hugann að því hvað við erum að handfjatla á hverjum degi þá er þetta í raun gullnáma fyrir árásaraðila," sagði Eva.

Þessar upplýsingar geta meðal annars verið nýttar í auðkennisþjófnað eða til að framkvæma sannfærandi "veiðipósta" (e. phishing) þar sem árásaraðilar nýta sér upplýsingar um starfsfólks og vinnustaði.

Hvert er hlutverk mannauðsfólks þegar kemur að netöryggi?

Einn stærsti punkturinn í erindinu var að mannauðsfólk gegnir lykilhlutverki þegar kemur að öryggismenningu fyrirtækja. Mannauðsteymi ættu að einbeita sér að nokkrum meginstoðum:

• Virk þátttaka og ábyrgð: Mannauðsfólk þarf að eiga sæti við borðið þegar öryggismál eru rædd. Það þarf að skilja áhættuna sem steðjar að starfsfólki til að geta miðlað upplýsingum rétt.
• Sérsniðin fræðsla: Fræðsla er ekki það sama og fræðsla. Þarfir bókhaldsstarfsmanns, framlínustarfsmanns og kerfisstjóra eru ólíkar. Mannauðsdeildin þarf að tryggja að rétt fólk fái rétta þjálfun.
• Sviðsmyndaræfingar: Eva lýsti því hvernig sviðsmyndaræfingar undirbúa stjórnendur fyrir ruanverulegar krísur. Að æfa viðbrögð við gagnaleka þar sem launakerfi eru t.d. óaðgengileg rétt fyrir mánaðarmót er dæmi um raunhæfa æfingu sem mannauðsstjórar ættu að taka þátt í.
• Jákvæð öryggismenning: Þetta er ef til vill mikilvægasti þátturinn. Öryggismenning snýst um að skapa traust þar sem starfsfólk þorir að viðurkenna mistök.

"Fólk er fólk og fólk gerir mistök. Það skiptir öllu máli hvernig við bregðumst við þeim. Ef við sköpum umhverfi þar sem starfsmaður þorir að segja strax frá því ef hann smellir á vafasaman hlekk, þá getum við gripið inn í áður en raunverulegt tjón verður," sagði Eva.

5 ráð fyrir örugga notkun gervigreindar í mannauðsmálum

1. Aldrei nota ókeypis aðgang í vinnunni: Notið eingöngu samþykkt "Enterprise" tól í gegnum fyrirtækjaaðgang.
2. Gerið gögn ópersónugreinanleg: Notið "Starfsmaður X" eða "Jón Jónsson" sem gervinafn í stað raunverulegra nafna þegar þið búið til texta eða greiningar.
3. Prompt-prófið: Hugsið "Myndi mér líða vel ef þessi fyrirspurn (e. prompt) yrði gerð opinber á morgun?" Ef svarið er nei, ekki setja upplýsingarnar inn.
4. Sérsniðin fræðsla: Framlínustarfsfólk og kerfisstjórar þurfa ólíka netöryggisfræðslu. Tryggið að allir fái fræðslu við sitt hæfi.
5. Verum hóflega skeptísk: Sannreynið allt sem gervigreindin segir ykkur.

Netöryggi á ekki lengur heima eingöngu hjá tæknideildinni. Mannauðsfólk er miðpunkturinn þegar kemur að upplýsingaflæði til starfsfólks og verndun viðkvæmustu gagna fyrirtækisins. Með því að láta okkur málið varða, æfa viðbrögð og nýta tæknina af varkárni, verjum við ekki bara gögnin heldur fólkið okkar.