对于不法之徒而言,薪酬是非常有诱惑力的目标。这不仅是因为其中的数据价值非常之高,还因为IT实施速度向来缓慢,攻击起来既有利可图,又基本没有风险。
随着新威胁的涌现,实施安全的薪酬政策已成为首要优先事项。那么,对于想要平衡成本、控制和合规的组织而言,是外包更好还是内部处理更好呢?
潜在薪酬问题
薪酬工作面临双重劣势: 人工流程和必要的可访问性。 虽然目标是杜绝错误,但增加薪酬复杂性会有产生额外错误的真实风险,例如数据录入不匹配或通过加密通道发送安全信息。 与此同时,按需可访问性的需求不断增加也带来了一个合规难题,在 Ponemon Institute 调查的员工中,有超过70%的员工表示,他们可以访问并不需要的安全数据。
这就使得薪酬对不法分子而言更有利可图。 迫在眉睫的问题包括:
- 内部问题——恶意或意外的内部威胁可能会危及薪酬流程。如果员工故意更改考勤表,或人力资源人员不小心输入错误的工资率,组织可能会损失数千元。
- 网络钓鱼——含有恶意链接的钓鱼攻击仍是一大薪酬安全问题,与此同时,又出现了新的版本:即通过精心编写的电子邮件博取信任,然后说服用户更改银行详细信息或重定向付款。
- 勒索软件——文件加密勒索软件攻击正变得越来越普遍,因为黑客认识到,比起薪酬数据丢失的风险,公司更愿意支付赎金。
- 不存在的员工——黑客还可以利用网络访问,创建“幽灵”员工,定期接受工资支票。 这些“幽灵”看起来是合法的,因此可能不会激活IT安全流程。
优先事项流程
ADP 网络安全营销高级总监指出了三个公司可以改善薪酬安全性的重点领域:
- 培训——组织首先以政策和程序的形式明确对员工的预期,然后相应地对员工进行培训。 她简单解释道, 对公司而言,“对员工投资才是重中之重”,同时成本也相对较低。
- 重视基础问题——计算机是否已装好补丁? 是否已设置好防火墙? 是否具有访问控制措施? 重点在于“关注可以日常工作中可以保护公司的基本活动”。
- 复原计划——“如果出错,该怎么办? 我该打电话给谁? 我的数据存储在哪里?” 制定好复原计划可以帮助减少潜在薪酬事件的影响。
最佳保护实践
薪酬威胁不断增加,公司可以采取哪些措施来限制潜在的影响? 其中有三个优先流程:
- 自动化——引入自动化可以帮助简化容易出错的劳动密集型任务,包括数据输入,从而让薪酬团队有更多时间来识别潜在的付款异常值。
- 身份验证——先进的用户验证技术(如双因素身份验证和单点登录)可以减少用户登录薪酬系统时的阻碍,同时降低总体风险。
- 适应——安全威胁不断演变。 因此,组织需要能够紧跟发展的薪酬系统。这就意味着,必须支持定期软件更新和定期网络评估,才能确保薪酬流程满足绩效和保护要求。
薪酬安全:外包和公司内部管理
所有这些都引出了一个关键问题:是外包这些流程更好,还是公司内部管理更好?
内部管理薪酬流程的重要原因在于控制力,没有第三方供应商的参与,理论上来说受保护支付数据面临的风险就更小。=但是,这可能会为公司领导带来巨大的负担。
“为处理薪酬工作,您需要获取员工数据,因此要时时刻刻负责保护这些数据。”她说, “不仅如此,您还需要负责保护资金的安全以及转账安全,如何将资金从您的账户转到员工账户? 您如何缴纳相应的税款?”
简而言之,如果组织员工数量较少,并且支付流程简单,那么便可以选择公司内部管理薪酬。 一旦引入大规模数据收集和在线访问之类的元素,新的薪酬威胁风险通常会大于内部处理的好处。
薪酬攻击不断发展变化。为确保安全,企业必须认识潜在的威胁载体,优先处理关键流程,实施最佳实践,并找到适合其业务的安全薪酬管理解决方案。
