如何不雇用信息安全官员's on Parole

在得知HR“忘记”对具有重罪记录的安全人员进行背景调查后,领导者重新检查了其组织的政策

上周,当我问到我所要解决的问题时,我正在与我所在的政府组织中一家大型机构的高级管理人员共进午餐。 机构的信息安全官。我听说ISO在几周前就安静而迅速地离开了他的工作,但是我却无法 关于原因的明确答案或合理解释。这并不像听起来那样奇怪。我们的政府组织非常分散,该机构 ISO不适用于我。除了确保他们在其内部制定企业安全策略外,我对他们没有任何真正的权限 代理商(但这是一个完全不同的故事)。

高级管理人员告诉我,他本来是要让我尽快了解情况,但是 非常复杂,在ISO退出后,他没有紧迫感以结束循环。因为高级管理人员在 职位,他花了一些时间试图使自己陷入困境。我的天线现在正在摇晃中。

这是 其余的故事。大约一年前,该员工很快被雇用来填补严重的空缺。该机构正在准备一些公平的 广泛的联邦审计,并且还需要安全经理来减轻最近的漏洞评估和其他新漏洞中的一些关键漏洞 我最近提出的企业安全要求。这个特殊的ISO很快成为更主动和有效的安全官员之一 在我们政府组织的20多个机构中。实际上,他是我所举起的榜样之一,因为他以 主动留在他所在机构的安全问题面前。

然后大约八周前的一天,该机构的人事主管 接到一个县缓刑官打来的电话,他说他的一个缓刑犯已经受雇,一直在骗他。他很生气,告诉HR 主任怀疑他也向该机构说谎。

猜猜员工是谁。

糟糕,我们“忘记了”

这个启示对双方都有些震惊 人力资源 director和高级主管,因为他们甚至都不知道该雇员有法律问题-更不用说他正在试用。他是, 毕竟,仅仅是信息安全官!经过与缓刑官进行调查和讨论后,他们发现 convicted of 重罪挪用,该雇员在被该公共机构雇用为公职人员之前仅几周就已从监狱释放。好, 其他CSO和CISO,您能看到它的发展方向吗?您开始出汗了吗?

当我的第一个念头是,你在开玩笑吗?我的第一次 对高级主管的问题是:“您是否有针对 进行 背景调查,您会遵循吗?”答案是“是”和“通常”。在急忙招人之前,一名前人事部门工作人员干脆 忘记了招聘过程中的背景调查部分。显然没有 清单 使 确保该过程的所有组件均已完成。

组织在招聘过程中可以做的最重要的事情之一 is to 进行背景检查。对于那些需要高度诚信和道德的职位而言,这尤其重要。它对我们所有人都有很大的帮助 有人在我们中间造成对我们信誉的质疑受到损害。我还认为,我们应该为拥有 信任的位置或可以访问关键系统和信息的员工,例如信息安全员。后台检查不会 必然会消除欺诈行为或受到道德挑战的员工,但此过程可能导致我们在实际雇用某个人之前提出一些棘手的问题,或者 至少让我们对他或她以前的工作或个人历史有所了解。

雇用恐怖

我们都听说过统计信息,其中大约50%的信息安全事件是由内部威胁造成的。这些还不是全部 当然是恶意的,但其中很多是恶意的。最近发生的许多情况使我脖子后侧的头发直立,其中包括: 那个以为自己将被一家建筑公司解雇的妇女,因此她删除了七年的建筑蓝图, 图纸估计价值250万美元。

将逻辑炸弹植入明尼苏达州圣克劳德医院计算机系统的人 他离开几个月后,就停用了他创建的程序。

乔治亚州政府机构工作人员,2005年被指控使用计算机 在工作时间以外未经授权访问佐治亚州驾驶执照文件后进行入侵和盗窃。

前杜邦科学家 犯有盗窃罪 商业机密。在发现科学家是该公司数据库的第二大活跃用户之后,杜邦发现他 已经将成千上万的文档发送给竞争对手。

进行背景调查是否可以使某些事情 雇主质疑这些雇员的道德或道德吗?也许可以,但是至少这些公司本可以直面回答 有关他们对员工的审查情况的问题。

更令人不安的是,涉及执法人员的事件被委托 保护,但违反了这种信任。就在过去的几个月中:

弗吉尼亚警察中士被控涉嫌联邦调查局的国家犯罪 信息中心数据库因个人原因。

两名科利尔县(佛罗里达)警长办公室的雇员被指控不当地访问 办公室的计算机系统以查找有关其他人的信息。

康涅狄格州哈特福德市的一位资深人士从警察局查询了情报 国家犯罪信息中心,并把它给了一个朋友。

这些经过培训的执法人员当然知道这种活动是错误的。这些 违反行为会严重损害公众信任。尽管背景调查显然无法阻止或阻止一切,但它们可能会提供 未来行为的指标。

一月份法国银行兴业银行(SociétéGénérale)期货交易员的最近一宗案件。 绕过已建立的计算机控制系统来进行虚假的金融交易,给银行造成超过72亿美元的损失- 另一种本可以阻止的情况。这么多钱将使很多人问很多问题。经常性的背景 检查可能显示了一些信息,表明该人对该组织构成了潜在威胁。

不忘什么

那么,背景调查由什么组成,您该怎么做?传统上,背景调查是由警察进行的,但今天有很多 提供背景调查服务的本地和国家私营公司。像大多数事情一样,您得到的是所支付的。一个简单的在线背景检查将 提供快速的基本信息,而更全面的调查可能要花费数百美元,并且要花费更多的时间。无论哪种方式, 目的是根据过去的行为和记录对一个人的性格提供一些见识。根据所需的背景检查的程度,它可以 提供有关一个人的财务,犯罪甚至个人历史的信息,包括破产,机动车票和就业记录。一世 建议一个人员安全策略,该策略至少包括以下组件:

  • 所有新员工(包括承包商,实习生或其他临时员工)必须通过基本背景检查。
  • “信任位置”的定义需要对背景调查进行更高级别的审查。这可能包括有权访问大型文件的任何人 金钱或财务帐户,公民或客户个人信息,专有信息或知识产权以及情报或 与执法有关的信息。
  • 要求所有处于信任位置的新员工,或常规访问任何类型的个人身份信息的要求,或 其他敏感信息,请完成全面的背景调查,其中包括犯罪记录,教育记录,信用记录,就业记录, 行车记录和药物测试(如适用)。
  • 定义特定标准的政策,该标准将取消潜在雇员在组织中工作的资格。
  • 要求对担任以下职位的现有员工和承包商至少每三年进行一次“更新”背景检查 trust.
  • 建立特定的及格标准作为雇用条件的政策。

古罗马诗人尤文纳尔(Juvenal)问:译为“谁看守看守?”对于我们这些人负责 为了保护我们的公民和客户的敏感和重要的个人信息,答案最好是“我们愿意!”

此列由真实的CSO匿名撰写。通过电子邮件将您的评论发送至[email protected]

版权© 2008 IDG通讯,Inc.